目标域名：www.xyz.com
目的：渗透整个内网 拿下域控
收集信息：
访问网站www.xyz.com发现站点时静态的，也没有什么登陆口，服务器用的是IIS6.0。Ping出此域名ip：111.111.111.111 在ip866上面查询了下，只绑定了这一个站，看来旁注也没希望。顺便查询了一下域名Whiose信息，得到一个域名注册邮箱[email protected]，域名所有者，管理联系人等信息。查询了一下ip地址范围和管理机构国家、NS记录等。
整理了下信息，继续扫描了下这个网段，几乎都开了80端口，很多同样模板的网站，都是其他公司或企业的。猜想估计这是个托管服务器了，而且和内网的联系甚少。即使拿下来可能也很难渗透到内网。
然后把目标转向了邮件服务器，在网上查询了下MX记录，得到一个邮件服务器地址：mail.xyz.com,Ping出其ip为 222.222.222.222，感觉和WEB服务器的ip没一点关系。扫描了一下邮件服务器所在的网段的ip，发现开80端口的ip很少，而且有几个是 路由器，其中一台有snmp弱口令”public”,ip为222.222.222.221。用IP Network Browser，扫描出此路由器的一些信息，得到其中管理员联系邮箱[email protected]。 由此猜想这就是目标内网所在的外网ip段了。访问域名mail.xyz.com,地址跳转到owa.xyz.com,而且出现Exchange Web Access的登录界面。Ping出owa.xyz.com的ip为222.222.222.223。最近Exchange 2007也没有什么漏洞可用。本来想说从这个网段的其他机器入手，嗅探一下路由器密码或者邮件密码，结果此网段开了web服务器和3389端口的机器基本 没几个，暂时先不走这条路。

社工邮箱：
既然找到了邮件服务器而且又是Exchange Server，那就先试试发表单钓鱼邮件社工几个用户来登录看看。回到ww.xyz.com的WEB页面，在“contact us”的页面中找到几个@xyz.com的邮件地址。瞬间拿出发匿名邮件的工具，做了一个钓鱼页面，加上表单，大概内容就是你的邮箱因什么什么原因将停止 使用，请在下面的输入你的账户和密码进行验证。很不幸，发送时都显示该用户不存在，主站上公布的邮箱怎么可能不存在呢？杯具（后面经证实确实不存在）。只 能用google多收集点邮箱了，突然灵光一闪，我手上正有Hotmail的XSS，如果能钓到几个内部员工的hotmail的邮箱说不定还有用。然后就 是用关键字mail “@xyz.com” “@hotmail.com”在google里面一阵狂翻，运气不错 真收集到10多个相关hotmail邮箱，怎么知道这个hotmail邮箱就是我的目标的员工的呢，这个大家可以多想想。收集好了之后，就是发钓鱼邮件， 等待鱼儿上钩。
二天过后…
查看收信的地址URL地址，已经有2、3个密码了，嗯嗯，还不错。瞬间登录进去，看了下邮件都是E文的，大概都是些工作信件，而且大多带附件，为以 后发马奠定了基础。看了下联系人有很多@xyz.com的邮件地址。更加确定这个邮箱的主人是目标内部员工的邮箱，把联系人导出继续发钓鱼邮件社工。在这 里挑出了一些@xyz.com的邮件地址来发嵌入表单钓鱼邮件，提示发送成功，看来之前收集的地址确实是不存在的。
又是两天过后…
@hotmail.com和@xyz.com的邮箱密码都有了新的。用得到的@xyz.com的密码登录到mail.xyz.com，没有提示密码错误， 但是很奇怪，跳转之后却出错了，看不到邮件内容，难道是ip限制？嗯~~ 现在已经有了差不多10个邮件密码了，但是mail.xyz.com登录不进去就只有发木马了，配置了一款免杀马，用得到的@hotmail.com的邮 箱给@xyz.com的邮箱发马。发附件马是迫不得已的，一是怕暴露，二是怕内网限制太BT马儿从内网中穿不出来。
内网渗透：
等了两天不见上线，第三天远控提示有新主机上线，哈哈，终于来了~马上用远控开了一个cmdshell执行ipconfig /all 嗯 不错 确实是处于内网的员工机器，
内网ip为10.10.2.2 有一个外网ip 122.122.122.122，很奇怪员工的机器有两块网卡，有块网卡分配了一个外网ip 有个网卡是内网ip，难道是拨号上网？或者是vpn？不管了，继续
所处域为xyz.com
dns服务器为：10.10.2.5（多半就是域控）
net localgroup administrators 发现用户将登录本机的域账户加入到管理员组的
net view /domain
显示有三个域
net view
看了下 域中机器很多
Oh~Oh~终于打开了突破口。接下来的目标就是域控了。上传gsecdump.exe到肉鸡抓了下hash，在线破解很快就破解出来了，可惜只是普通域 账户权限，用这个账户密码与建立10.10.2.5\ipc$连接，提示没有权限。同时gsecdump.exe也抓到了本地管理员密码，用本地管理员登 录与建立10.10.2.5\ipc$连接 提示密码错误。用本地管理员与其他员工机器建立ipc$连接，提示成功看来本地管理员密码在员工机器中应该是通用的。
直接拿域控可能有点困难，把注意力集中到内网中的web服务器，管理员总会登录内网中的服务器进行维护吧。继续查看nei view返回的内容，发现有个\\xyznetnews的机器很像是内网服务器，ip为10.10.5.5上传lcx到肉鸡，直接转发10.10.5.5 的80端口出来到的另一台外网肉鸡220.220.220.220的388端口上面，我在本地浏览http://220.220.220.220:3388就 可以访问到这台内网中服务器开放的web服务了。果然，80端口开放了web服务，但是没什么漏洞，接着试了/phpmyadmin /admin /login等目录，在试phpmyadmin目录的时候 直接就进去了，看来管理员没有设置mysql密码啊。接着导出小马，拿出菜刀，连上去，执行命令，哈哈~系统权限，上传gsecdump.exe抓 hash 抓出的都是无用的hash，估计密码超出14位了。接着上传Winlogonhack记录登录密码。第二天，无密码，不能再等了，直接关机， 第三天，密码有了。但不是域管理员账户，拿着密码登录域控，登录成功，搞定，不过很纳闷，net group “domain admins”并没有发现整个账户但是为什么可以登录域控呢，而且可以加任意账户到domain admins组。
到此拿到域控，整个内网基本就ok了。