之前那个网段感觉没什么问题了，换了个网段

扫描学校网段 172.x.x.0/24

弱口令扫描器

爆破出oracle弱口令

利用工具oracleShell.jar来命令执行

(下载地址：链接: https://pan.baidu.com/s/1boILwEr 密码: 3h13)

masscan扫描3389

3389未开

想执行其他命令，但是估计有杀毒软件（最后发现是火绒）很多命令执行不了，然后执行

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

开启3389

然后想试一下 免杀马 shell_code加载器那种，但是最新版火绒可以杀(就这几个月的事情)，当然其他的杀毒软件还是能过，目前就发现个火绒过不了，好死不死这次碰到的就是火绒

然后想到guest用户

将guest用户激活

net user guest /active:yes

然后将guest 添加进用户组

net localgroup administrators guest /add

登陆3389

上传cs木马

然后管理员权限执行

拿到admin权限

抓hash

放https://www.objectif-securite.ch/ophcrack hash破解

得到管理员账户密码 administrator xxxxx

登陆

然后hash传递

又拿到一个3389

然后发现全是虚拟机

再抓取hash

又hash传递

无果

涉及到的知识

Guest帐户即所谓的来宾帐户，它可以访问计算机，但受du到限制。不幸的zhi是，Guest也为黑客入侵打开了方便之门。如果不需要用到Guest帐户，最好禁用它。在Win XP Pro中，打开“控制面板”→“管理工具”，点击“计算机管理”。在左边列表中找到“本地用户和组”并点击其中的“用户”，在右边窗格中，双击Guest帐户，选中“帐户已停用”。WinXP Home不允许停用Guest帐户，但允许为Guest帐户设置密码：先在命令行环境中执行Net user guest password命令，然后进入“控制面板”、“用户设置”，设置Guest帐户的密码。

passing the hash，中文一般翻译为hash传递攻击，在windows系统中，系统通常不会存储用户登录密码，而是存储密码的哈希值，在我们远程登录系统的时候，实际上向远程传递的就是密码的hash值。当攻击者获取了存储在计算机上的用户名和密码的hash值的时候，他虽然不知道密码值，但是仍然可以通过直接连接远程主机，通过传送密码的hash值来达到登录的目的。

pth涉及到的知识

“挑战—应答”。“挑战—应答”认证机制中，通常用户携带一个相应的“挑战—应答”令牌，如图1（a）所示。令牌内置种子密钥和加密算法。用户在访问系统时，服务器随机生成一个挑战并将挑战数发送给用户，用户将收到的挑战数手工输入到“挑战—应答”令牌中，“挑战—应答”令牌利用内置的种子密钥和加密算法计算出相应的应答数，将应答数上传给服务器，服务器根据存储的种子密钥副本和加密算法计算出相应的验证数，和用户上传的应答数进行比较来实施认证。不过，这种方式需要用户输入挑战数，容易造成输入失误，操作过程较为繁琐。近年来，通过手机短信实现OTP验证码用得比较广泛。是目前主流的OTP验证方式，目前被广泛用于交易系统以及安全要求较高的管理系统中。

Oracle注入 - 命令执行&Shell反弹

https://blog.csdn.net/qq_33020901/article/details/80221393