本篇文章接续上一篇文章内网渗透_域渗透2进行进一步测试，环境链接见最下。

一、理清思路

• 1. 首先要能够获取域内一台主机的权限，可以从web方面、爆破3389与ssh、数据库或其他服务等方面，能够获取webshell。
• 2. 在获取webshell后，要能够对该主机进行一个”绝对掌控“，即能够执行system权限的命令，如webshell为system权限则完事大吉，如为IIS权限或dbuser权限则进行进一步提权。
• 3. 提权这一部分依笔者拙见，在导出systeminfo进行补丁比对后使用webshell反弹meterpreter来进行提权是较为轻松的方式，如若不行，绕uac使用procdump抓密码连上去也是极好的...
• 4. 在拥有system权限后，我们需要通过本机对域内环境进行信息收集，探测域的范围、探测域控的名称、收集本机系统中有没有域管的密码、域内密码的设置规则、在本机桌面或磁盘中是否存在运维表格，找到就是血赚...
• 5. 在进行域内信息收集之前，其实还是应该留一些后手的。如果扫描的动静太大被防护设备抓到，我们很可能会丢失权限；可以使用cs在注册表中，服务项中留存后门，meterpreter也可以添加自启与进程迁移来进行保护，不过说到底还是需要动静小一些...
• 6. 如若在本机上没有找到域管密码，可以使用相应的域内提权漏洞将自身提权至域管权限，如MS14-068、exchange漏洞等；或者可以转变思路曲线救国，使用当前域用户去登陆其服务主机，攻击其他主机漏洞，以星火燎原的方式来获取域控...

二、接上回演义

如下图所示，我们通过手段拿下了目标服务器，cs中自带有相应的ByPassUac与mimikatz等工具，一键运行之。

cs获取权限.png

ByPassUac，cs中常用dll劫持或脚本注入的方式来ByPassUac；如图中所示，此处cs以dll劫持的方式ByPassUac，成功之后会创建一个新的会话，在user后面多了一个*，在图形化显示界面中机器被红色小爪爪包围，代表目标服务器已经完全获取控制权限。

ByPassUac成功.png ByPassUac成功.png

使用getsystem命令来进一步提权。

提权成功.png

使用mimikatz抓取目标机器上的密码。

抓取密码.png 抓取密码.png 密码解密.png

至此，我们已经获取了在目标服务器上的所有用户与密码，
域用户:
dbadmin:admin!@#45
test:admin!@#45
本机用户：
test:!qaz2wsx

使用cs加载socks代理，把远程桌面带出来，把工具带进去。

图片.png

使用dbadmin用户成功登陆域控服务器

图片.png

当然如上情况均是在理想条件下完成，在真实环境中必然不可能如此轻松，所以本篇文章后半部分与下一篇文章内容为cs与msf的搭配使用与nishang等powershell渗透测试框架的学习与使用。

三、CS与MSF的搭配使用

msf与cs建立相同端口的监听会话，spawn之，得到meterpreter。

msf监听.png

由于在cs中已经拿到system权限，继承的meterpreter也是对应的system权限。

system权限.png

至于为啥说要用cs给meterpreter呢，emmmm，msf中大量的扫描模块与漏洞攻击模块完美契合，再搭配上美味的后渗透post模块就像源氏拔出了刀一样。。（扯远了）

信息收集的脚本较多，仅列几个常用的：
run post/windows/gather/checkvm #是否虚拟机
run post/linux/gather/checkvm #是否虚拟机
run post/windows/gather/forensics/enum_drives #查看分区
run post/windows/gather/enum_applications #获取安装软件信息
run post/windows/gather/dumplinks #获取最近的文件操作
run post/windows/gather/enum_ie #获取IE缓存
run post/windows/gather/enum_chrome #获取Chrome缓存
run post/windows/gather/enum_patches #补丁信息
run post/windows/gather/enum_domain #查找域控

nishang框架见下一篇，留个坑。
附环境地址：链接:https://pan.baidu.com/s/133jQmW6aXd6frqe30zg7_g 密码:rkyv
参考文章：后渗透之meterpreter使用攻略