對某教育出版社的友情檢測（一）

20多天沒有寫文章一直在寫自動化web漏洞掃描框架。。。（累的要死）

然而事情是這樣的，本人菜雞一名，經常在漏洞銀行和i春秋等白帽子平台交流，昨天在漏洞銀行認識的一位朋友來找我，說提權添加賬戶但是無法打開3389，於是我拿起注入點就是干。。

直接--os-shell

然後ipconfig

是xxx.xxx.xxx.6這個IP，然後看了看和存在注入的web服務並不是同一個IP所以推斷是站庫分離

運行Web服務的IPxxx.xxx.xxx.14， 然後看了看目標既然可以添加賬戶就是可以打開3389埠的，

問了問他咋打開的，也就是寫批處理修改註冊表，用神器讀取他寫的批處理然後執行了一下發現根本不行，會帶多餘內容，然後自己寫了一個通殺XP,2003-2012,WIN10的批處理

成功打開3389，這裡有個坑就是打開後是連接不上的，要重啟伺服器才行，後來朋友跟我說可以遠程連接了，我才知道要重啟。。。

好，成功登錄伺服器

拿下xxx.xxx.xxx.6這台伺服器，然後我們的目標肯定是Web伺服器（xxx.xxx.xxx.14）

看了看xxx.xxx.xxx.6這台伺服器，許可權不高，於是ms15-051秒提EXP直接SYSTEM許可權

既然是高許可權，target是xxx.xxx.xxx.14於是拿出17年的內網大殺器（MS17-010）掃之，結果並不好只掃到一台xxx.xxx.xxx.7這個伺服器存在漏洞

既然無法搞xxx.xxx.xxx.14我們就迂迴攻擊，先弄xxx.xxx.xxx.7這台伺服器，在正式的滲透測試時，我們最好少上網上的溢出EXP因為可能會因為不穩定或者其他原因導致伺服器宕機，特別是在生產環境中會對業務造成無法挽回的後果，但是實在沒辦法的時候，在使用溢出exp時應該驗證一下exp，測試會不會產生一些無法挽回的後果，所以使用之前我在本地用kali生成一個反向連接的dll，如果利用成功就會主動連接我們的6666埠

ms17-010一下具體的坑我也寫在我之前的文章里了用EternalBlue對目標進行快速滲透

在本地win7虛擬機測試成功後，把dll和利用工具放到xxx.xxx.xxx.6這台伺服器上開始滲透，如下圖

安裝dll

成功反彈

添加賬戶登錄

穩定利用，拿下xxx.xxx.xxx.7這台伺服器，可以看到這個是連接內網的，估計WEB伺服器在內網，通過這台伺服器轉發的，所以對這個教育出版社的安全評估已經結束，真正的滲透測試才剛剛開始，大家敬請期待下一篇：對某教育出版社的友情檢測（二）