时间过的真快，转眼就快到18年底了，然而还是没有挣到多少钱。心塞，欠了一屁股债，伤不起。最近在帮某公司做售后服务，刚没去多久，还不是很熟悉店里的情况。貌似前台小妹妹脾气不怎么好，

这不让碰那不让碰的，谁叫她是老板的妹呢~哈...好多客户来修机器都被她弄跑了呀。厉害厉害...于是便有了此文...

先fping扫了下网段下的在线主机，10.0.0.58这台主机是我本机的IP地址。

用Nmap扫了下发现了一台开放mssql的服务器主机，还是03的系统

同样用MSF扫描看了下，也开着msSQL服务SqlServer数据库，判断没错的话17IP这台应该就是前台主机。

先试了下msf下的sqlserver/exploit漏洞进行攻击，失败，后来看了下是因为SqlServer打了SP4补丁。

既然开放着mssql，1433端口也开着，就用Hydra跑了下弱口令，

我去，居然还真跑出来了弱口令密码，跑出了SA的密码123。

然后调用MSF里的auxiliary/admin/mssql/mssql_exec模块，登录sqlserver来执行命令进行提权。

但在这里卡壳了，net user加系统账号可以，但由于主机没有开放远程3389端口，虽然可以用

cmd命令注册表的方式开端口，一直没开上。不知道是不是msf的原因。所以就想到上传木马的

方式来开端口提权什么的，然后在结合（auxiliary/admin/mssql/mssql_exec）模块来执行木马，

但又要顾及到上传后的木马能自动运行，而且木马要怎么上传上去？于是想到了利用msiexec命令。

先用msf生成一个msi后缀的后门木马，msf这工具真是无所不强大！

开启阿帕奇服务，把刚才生成的反弹木马放到web根目录下。

现在回到mssql_exec模块，调用msiexec命令来远程下载隐藏执行我们的木马。

执行后，MSF这边成功得到了主机上线消息。

看了下弹回来的直接是个system权限，现在可以开远程端口了，注册表命令姿势先开启3389端口。

在来加用户，添加一个账号hack密码123

欧耶，登录前台主机看看，~~~

最后清理日志，删除账号，擦个屁股走人~~~