红日内网靶场——红队评估(一)(上)
一、环境搭建
1.1、环境部署
- WIN7 (web服务器) 双网卡(内外网 IP)
- 网卡 1 IP:192.168.52.143 (内网服务器 存在yxcms)
- 网卡 2 IP:192.168.17.130(外网DHCP自动获取)
- WIN 2008(域控) 单内网网卡
- 网卡IP:192.168.52.138
- WIN 2003 (域成员) 单内网卡
- 网卡IP :192.168.52.141
- Kali (攻击机) 外网网卡
- 网卡IP:192.168.17.131
1.2、拓扑图
二、信息收集
2.1、页面信息收集
- 192.168.17.130 打开是一个phpstudy的探针
- 有一个数据库测试功能,尝试弱口令 root/root,测试正常,说明数据库存在弱口令
- 发现了绝对路径和一些组件的版本信息,绝对路径可以sql注入写shell,版本信息可以找一些历史漏洞
2.2、端口加敏感目录扫描
- 使用nmap对192.168.17.130进行端口扫描 找找是否存在高危端口
- 存在3306端口,是mysql的端口,刚才已经知道有弱口令了,一会儿可以直接利用。
-
使用dirb扫描目录 探测是否存在敏感目录
- 存在phpmyadmin,知道绝对路径,可以尝试写shell
- 存在phpmyadmin,知道绝对路径,可以尝试写shell
-
登陆phpmyadmin看看是否有可以利用的数据
- root/root 弱口令登陆成功
- 发现存在yxcms的数据库,尝试访问yxcms的路径。
2.3、yxcms的信息收集
- 观察页面,发现公告上写着后台路径和 默认口令
- 后台路径:/index.php?r=admin 默认口令:admin/123456
- 访问后台尝试默认密码登陆
- 登陆成功
- 通过观察后台页面,发现 有一个前台模版新建模版的功能点,可以直接写 php文件。
三、漏洞利用
3.1、利用phpmyadmin写shell
- 直接通过 SQL 查询语句 outfile 写入一句话木马,先看是否存在写入的权限
- show global variables like ‘%secure%’;
- 显示为NULL 只可读不可写
- show global variables like ‘%secure%’;
-
开启全局日志getshell
- show variables like ‘%general%’;查询全局日志变量配置
- 开启general_log将所有查询语句都记录到指定可以访问的文件中
- 日志记录的目录,是绝对路径,在php探针上已经拿到。
-
检查是否更改成功
-
尝试写入一句话木马. 就算报错日志也会记录下来。
- 尝试用哥斯拉连接 成功
3.2、yxcms上传webshell
- 利用前台模版新建一个php页面,写上一句话木马,抓包看看是否有回显路径
- 并没有返回URL的路径,只能试试别的办法
-
没有路径 可以看看robots.txt 或者去做目录扫描,看看是否有新的发现
-
访问robots.txt 看是否存在可利用的目录
- 存在/data /protected目录 访问了一下 发现有个目录浏览,找到刚才传的she_ll.php
-
- 路径http://192.168.17.130/yxcms//protected/apps/default/view/default/she_ll.php
- 尝试连接