本次測試為實戰，測試環境為朋友的個人商業網站，伺服器位於某資料中心，所提漏洞已通知並協助修復

首先借助該網站某處上傳漏洞，實現一句話木馬上傳，然後使用菜刀連線。

  一句話

藉助菜刀上傳asp大馬。

  asp大馬
發現當前許可權極低，嘗試提權，因為目標伺服器為server2003，所以藉助木馬上傳功能上傳了pr、cmd。
使用自己上傳的cmd（系統自帶的不能識別）執行pr嘗試提權。

pr.exe "net user rabbit 123456 /add"
pr.exe "net localgroup administrators rabbit/add"
 

然後登入嘗試發現目標主機果然沒有使用預設的3389埠。

pr.exe "tasklist /svc"
pr.exe "netstat -nao"

尋找termservice服務對應的PID進而尋找埠號，果然遠端服務執行在一個自定義埠。

這部分不再提供截圖，有疑問的可以參考之前釋出過的一篇文章
https://www.jianshu.com/p/0ad65b348e8a

嘗試使用asp木馬上傳metepreter木馬，發現莫名其妙失敗了，，，

  metepreter

沒關係，我們已經拿到了伺服器，所以這裡我們選擇遠端桌面來上傳,記得勾上剪貼簿。

  遠端桌面上傳

      mstsc /admin

msf木馬反向代理與frp的配置再此省略，大家可以自行參考之前的文章。
成功反彈木馬。

  shell

關於這裡有一個小技巧，如果我們是通過asp大馬來執行的metepreter，我們的木馬提權可能會變得十分困難，然而我這裡通過管理員使用者來登入手動執行，當前許可權即為我們建立的管理員使用者rabbit。

  getsystem
這裡我們看到，提升至最高許可權也變得異常順利。

#檢視當前網段
run get_local_subnets

  網段檢視

#新增路由
run autoroute -s 10.122.128.0/17

  新增路由

#新增路由
run autoroute -p

  路由檢視

然後我們已經將msf代入了當前pc，使用background將metepreter置入後臺，我們就可以肆意的使用如永恆之藍等指令碼對對方內網展開屠殺了。。。咳咳，然而我這裡的pc所處環境是一個數據中心，伺服器之間內網互相隔離，當然這也是為了安全，關於這項技術，我們後期有機會會介紹下。
回到現實，既然我們不能對內網進行探測了，我們只能嘗試最大限度的擴大我們的本機戰果。
還記得我們入門系列最後一節提到的load命令嗎，再次藉機會展示一下：

  mimikatz

mimikatz_command -f hash::lm
mimikatz_command -f hash::ntlm

藉助mimikatz_command我們可以檢視當前使用者的hash密碼，支援lm/ntlm兩種加密方式。

  mimikatz_command

當然啦，我們已經獲取到了系統system許可權，我們可以藉助metepreter自帶的命令直接獲取使用者hash。
如msv，獲取所有使用者詳情：

  msv
當然，你也可以通過hashdump只檢視使用者hash：
  hashdump

我們藉助主流破解網站居然查到了一條，找小夥伴幫忙付費解析了一下，成功拿到了administrator使用者的密碼。

  cmd5
遊戲當然還沒有結束~
還記得我們之前提到的永久後門麼？接下來的思路就是捆程序、寫硬碟，然後、呀，翻車了，system依然沒有成功將程序捆到系統程序裡，不過，這裡我們已經拿到administrator使用者的密碼了，這裡且放他一馬。
  migrate
然後接下來，整個伺服器都可以為所欲為了，比如資料庫、以及各種其它敏感檔案，這裡拿到了大量使用者資料以及管理員賬戶密碼、支付寶商戶賬戶商家key等資料。
在打算撤出本次實戰的時候，突然發現該網站居然已經被上傳過木馬了，本著造福大眾、捍衛世界和平的心態，對這位陌生朋友的小木馬進行了一個小小的修改，當然密碼也順手改掉了w(ﾟДﾟ)w：
  已有後門
希望他早日改邪歸正，emmmmm，一個人也要好好噠！