写在前面 跟HYPERLINK"http://www.freebuf.com/articles/web/53056.html"\o""\t"_blank"web渗透（上一篇）不同，内网渗透需要更多的随机性和突破口，情况较为复杂，遇到障碍，有时可以换种思路突破，很多时候则无奈的只能止步于此。下面分享一些自己总结的内网渗透经验。主要是以windows下的操作为主。 0×01斗转星移 （在拿到webshell的时候，想办法获取系统信息拿到系统权限） 一、通过常规web渗透，已经拿到webshell。那么接下来作重要的就是探测系统信息，提权，针对windows想办法开启远程桌面连接，针对linux想办法使用反弹shell来本地连接。 ①Webshell应该都可以调用系统cmd执行一些简单的命令，那么whoami（查看当前权限），netuser（查看用户/组），systeminfo（查看系统补丁修复情况）等常见命令应该是首先被执行 探测的。 I:不具备系统权限： ①Serv-U提权，现在很多的webshell都集成了Serv-U一键提权功能，只需要点击一下就拥有了系统权限，简单快速。 ②SQLServer提权，利用webshell的目录翻阅功能，查找网站根目录下的数据库配置文件，以php为例则为config.php；查看文件内容一般都会发现数据库的登陆信息用户名/密码，（密码md5或者其他的加密方式解密一下即可），通过webshell或者数据库端口开放的话利用数据库连接工具Navicat等工具来连接数据库。 连接数据库检查xp_cmdshell是否存在，扩展存储过程是否打开，再利用xp_cmdshell来执行系统命令，添加用户、开启远程桌面等。 常用命令： selectcount(*)frommaster.dbo.sysobjectswherextype=‘x’andname=’xp_cmdshell’返回值是1就是有xp_cmdshell存储过程 execmaster.dbo.sp_addextendedproc‘xp_cmdshell’,’xplog70.dll’添加cmdshell（Sqlserver2000） execsp_configure‘showadvancedoptions’,1;当设置advancedoptions参数为1时，系统才允许修改高级选项； reconfigure； execsp_configure‘xp_cmdshell’,1;开启扩展存储过程； reconfigure;(Sqlserver2005) 通过xp_cmdshell来执行命令： execmaster.dbo.xp_cmdshell‘命令’ ③MYSQL提权，如SQLServer一样，首先找到数据库连接文件来找到数据库的登陆信息，登陆MYSQL数据库，利用MYSQL的CreateFunction来添加自定义函数，向mysql添加命令执行函数来执行系统命令。需要使用的文件为udf.dll。 也有一些自动化工具可以完成以上操作。 II：具备系统权限： 直接通过wehshell来执行相关命令，添加用户等操作。 ②可能遇到的障碍： 1.无法执行cmd命令： 有可能执行的命令不具备执行权限或者system32/cmd文件自身拒绝被调用；一般可以通过自己上传cmd命令程序来解决，为当前用户权限。 2.添加用户的命令netuser/add不能被执行： 一般是由于net.exe文件不存在或者拒绝被调用导致，可通过上传net.exe文件来解决，包括tasklist等命令无法被执行时，都可以通过上传相应可执行文件来解决。 3.SQLServer扩展存储过程无法开启： 在管理员做过数据库加固的情况下，xplog70.dll文件会被管理员删除，从而不能够成功开启数据库扩展存储过程，解决方案为上传xplog70.dll文件。 4.不能在目录下上传文件，或者上传的文件执行权限不够： 根据文件目录的执行权限，首先查找可读、可写目录，假如不好找的话，一般建议将文件上传到相应盘符的recycler文件夹内，这个文件夹在每个盘下面默认都会存在，并且具有可读、写、执行权限。 5.新建用户成功，但是无法确定管理员组： 没有明确标识的administrator组，在新建用户加入管理员组的过成中，系统管理员已经将管理员组更名，此时需要查询管理员组名称，再在相应的组中加入。 6.3389端口虽然打开，但是远程桌面无法连接： 一般这种情况是由于windows的防火墙进行的端口限制或者在远端服务器网络出口有安全设备如防火墙进行了外联端口限制，这个时候就要祭出前辈大神的LCX端口转发工具，对相应端口进行转发到常规使用的端口上,再从外部连接转发后的端口。 二、没有通过常规渗透拿到web