记一次由sql注入到拿下域控的渗透测试实战演练(2)

我们要明确为什么我们的远程桌面无法直接连接，根源在于我们的电脑无法直接访问靶机的3306端口，所以我们要从我们唯一可以访问到的80端口所开放的web服务来找突破口，这里就涉及到了一个新的工具：

**reGeorge：GitHub下载地址： https://github.com/sensepost/reGeorg **

下载下来以后是这样的一些文件：

我们需要根据网站所对应的脚本语言来上传对应的信道文件，比如说这里靶机所使用的是PHP，我们就上传tunnel.nosocket.php到靶机：

通过蚁剑上传信道文件并访问：

出现如图所示的回显说明我们的“信号塔”部署完毕，那么这个信号塔具体有什么用呢？

前面提到过，我们只能访问靶机的80端口，那么我们要做到的就是通过一层信号转发使我们能够通过访问80端口而访问到靶机3306端口

所以这个信号塔的作用其实就是信号转发，我们需要把原本要发送给靶机上其他我们访问不到的文件的数据包发送给信号塔，然后信号塔会根据我们的要求把接收到的信号转发给对应的服务模块

简单来说，就是我们要访问靶机上的远程桌面模块，但没法直接访问，就先把我们的请求发送给信号塔，然后有信号塔发起对远程桌面的访问

这样问题不就迎刃而解了吗？

接下来我们在本地运行reGeorgSocksProxy.py来与信号塔配合（一个发包一个接包）

出现如图的语句证明脚本运行正常

使用Proxifier设置代理，这一步的目的就是限制只有本机mstsc.exe所发送的请求才会被转发到信号塔接受，如果所有web请求全都发去的话，那么恐怕下一秒就断网了。。。

设置代理规则如图：

设置好之后就可以重新进行远程桌面连接了：

利用我们已经添加好的管理员用户haixian进行登录并尝试在靶机上下载nmap为下一步的横向移动做基础信息收集

下载成功后简单的扫描一下C段，结果如图：

经过初步探测，内网中有10.0.1.1，10.0.1.3，10.0.1.4，10.0.1.6，10.0.1.8四台主机存活且后两台主机均开放了3389端口，为远程桌面连接提供了可能

然后我们再通过mimikatz（迷hotel）抓取管理员密码，mimikatz常见命令如下：

其实mimikatz这款神器的功能十分强大，这里只是介绍了冰山一角，有兴趣的读者可以自行了解，网站上教程很多~

通过蚁剑上传mimikatz，要注意区分系统（32位和64位）来上传不同版本，不同版本的mimikatz使用稍有不同

抓取本机密码如图：