靶机搭建
靶机的下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/#desc
下载好后需要在VM中,先配置好两块网卡。
靶机介绍
web服务器 --------》 windows7
域成员主机 --------》 win2k3
域控主机 ---------》 win2008
靶机配置
(本人下载的靶机时间久远,不知道中途有没有动过,192.168.52段的ip是已经固定好的)
win7 :
eth1 192.168.77.X
eth2 192.168.52.X
win2k3:
eth2 192.168.52.X
win2008:
eth2 192.168.52.X
靶机内部配置
不知道是个人下载的原因还是其它的,win7靶机需要进入到内部将phpstudy安装一下,并开启,而且win7靶机是禁ping的。如果不存在和小编一样的情况,直接跳过。
实际配置了一下,并且参考了一下其他的文章,可以肯定,win7靶机是肯定开放了80和3306并且存在pupstudy软件的。在win7靶机中搜索phpstudy。
进行一下安装。安装好后自动开启80和3306,并且会部署好网站环境。
信息收集
在攻击机中开始信息收集:
访问靶机:
可以看到可以看到phpstudy的一个探针。
可以通过探针收集一波信息。现在还需要知道网站路径,用扫描器扫一波。
发现存在phpmyadmin,同时还有网站的备份文件。将备份文件先下载着。
打开phpmyanmin。
直接登录试试。
我这里是没有登录上,估计是不允许远程登录(但是看了看其他的文章,是可以远程登录的,估计是我个人的问题。)
网站路径为:http://192.168.77.128/yxcms/
使用扫描一下网站的目录。
访问一下扫到的目录,发现存在目录遍历。
访问网站:
在该页面中发现后台路径,以及弱口令,进行尝试。
可以看到有前台模板功能,点前去发现可以写模板文件,通过模板文件拿shell。
写入shell后发现不能找到这个文件的路径。想起来存在的目录遍历漏洞,试着找找shell文件。
最终在http://192.168.77.128/yxcms/protected/apps/default/view/default/目录下发现写好的shell文件。连接shell。
成功连接。
查看一下权限,确定为管理员权限。
配置一下cobalt strike 准备主机上线。
开启服务,运行cobalt strike。
创建Listener,生成payload,因为主机为windows所以这里就选择powershell后门。
生成好后门后,通过webshell上传到目标主机中。并执行
直接运行报错了,不允许执行脚本文件,通过webshell修改靶机配置。
执行cs生成的后门,cs上线。
进行提权操作,这里用的:
决定反弹shell先。
未完待续