前言声明:此文仅供学习记录研究使用,切勿用于非法用途,否则后果自负!
0x00 环境安装
网络拓扑图,较简单的一个内网环境:
把VM虚拟机环境下载下来之后,首先设置网络适配器:攻击机(这里我用的是kali)设置成NAT模式,win7(Web服务器,有2张网卡,网络适配器2需要自己添加)网络适配器1设置成自定义(VMnet1仅主机模式),网络适配器2设置成NAT模式。win2003、win2008 网络适配器设置成自定义(VMnet1仅主机模式)。
这里如果win7装上去之后任务栏的小图标是空白的话phpstudy是无法启动的,会报phpstudy cannot create shell notification icon,暂时我没有好的办法解决这个问题,把所有虚拟机删除之后重装,有一定的机率解决此问题(我重试了4次)。
还有的时候win7以域管理员登录的时候可能会报“此工作站和主域间的信任关系失败”,这个也没什么好说的,重装大法好。
适配器设置好之后就可以启动域控等三台机器了。win7进去之后需要点击phpstudy启动web服务。
0x01 GetShell
然后这时候我们kali扫描一下自己在的C段:
可以看到kali攻击机在192.168.198.130/24,nmap扫描一下:
因为这台win7是关闭了ping,所以我们使用命令sudo nmap -sS 192.168.198.130/24来扫描,这种是SYN扫描,只完成三次握手前两次,很少有系统记入日志,默认使用,需要root(admin)权限。上面可以看见发现了192.168.198.232.使用-A参数扫描一下这个IP:
(注意,这里在设置win7的时候,对外的那个网卡,我这里叫网络2,一定要设置为“公用网络”:
如果不设置公用网络的话会导致攻击机无法访问到该网卡打开的端口,开放web服务也就失去了意义。
扫描发现开放了80和3306端口.访问80端口看下:
可以看到爆出了很多敏感信息。
dirsearch扫一下网站目录:
发现有phpmyadmin和一个yxcms。
访问yxcms看看:
我们点击页面上的登录按钮,把url中的member改成admin就能在管理员后台登陆
弱口令admin/123456登陆成功:
在前台模板这里可以发现能修改php。尝试写一句话:
百度一下yxcms的模板目录,蚁剑连接http://192.168.198.232/yxcms/protected/apps/default/view/default/1.php:
拿到webshell之后使用命令for /r C:\ %i in (*flag*) do @echo %i找找flag:
好像并没有flag,但无所谓了,我们通过whoami得知是一个管理员的权限(这里如果权限较低的话还需要使用相关exp进行提权操作)。
0x02.进击内网
打下webshell了之后看看本机的内网,因为之前whoami命令返回的结果god/administrator已经给了我们足够的提示,带斜杠肯定是域环境。
ipconfig看看:
这里要插播一个知识:169.254.x.x是一个保留地址,通常是Windows操作系统在DHCP信息租用失败时自动给客户机分配的IP地址。比如客户机是自动获取IP地址,而在网络上又没有找到可用的DHCP服务器时,就会得到这样一个IP。
因此看下面的192.168.52.143,这个属于内网地址,说明这台机器连接了内网网卡,接下来就是想办法对这个内网进行信息收集。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
