自己搭的环境 信息收集这块就不过多介绍了直接开干
第一台主机IP:192.168.10.104
访问发现是一个极致CMS站点,使用dirb扫描目录发现存在后台登录页面
![](https://img-blog.csdnimg.cn/img_convert/b2f3e3d69160cc397dbbb28252812117.png)
BP抓包对账户密码进行爆破登陆成功 admin admin123 在后台在线文件管理器中新建文件并写入一句话木马
![](https://img-blog.csdnimg.cn/img_convert/b4478f2232ec4293356f843c14de4b4c.png)
测试访问并用蚁剑链接
![](https://img-blog.csdnimg.cn/img_convert/11b16c6c28c06d404b7b0642782cb226.png)
发现执行不了命令 使用蚁剑的插件进行绕过执行
![](https://img-blog.csdnimg.cn/img_convert/78442dc9927e09c600b153baece7a7be.png)
收集信息发现是低权限账户还是有些命令不能执行。使用MSF生成后门
![](https://img-blog.csdnimg.cn/img_convert/8f9ecf378fcbc2dac242499017610f54.png)
![](https://img-blog.csdnimg.cn/img_convert/a205e55dd1a6d7ebb88b009f5c601e32.png)
上传到蚁剑msf开启监听上线
![](https://img-blog.csdnimg.cn/img_convert/8bfaf1ed40911a59ea4df7dd3dfe08de.png)
![](https://img-blog.csdnimg.cn/img_convert/284156619dc6c1c3b514f8d23ebfdc14.png)
![](https://img-blog.csdnimg.cn/img_convert/bd2ecb42ca59abdb004c00061b6948e7.png)
7.使用msf的提权模块进行提权 使用cve_2021_4034_pwnkit_lpe_pkexec进行提权
![](https://img-blog.csdnimg.cn/img_convert/2c915b756238c3738fe7972739eac9dd.png)
8.查看内网网卡信息
![](https://img-blog.csdnimg.cn/img_convert/6f711ce05be9aac115839f28d6ba33fa.png)
9.添加路由访问内网
![](https://img-blog.csdnimg.cn/img_convert/6a926be9c807e7a810546e3414775ad1.png)
10.使用PortScan模块对内网主机扫描 发现10.10.1.6开放80端口
![](https://img-blog.csdnimg.cn/img_convert/b0274a4945d2f60f4ab61f41873bb1f6.png)
11.上传frpc到目标服务器搭建隧道访问10.10.1.6:80
![](https://img-blog.csdnimg.cn/img_convert/3037b5ae9011df080a649d89ff150aea.png)
![](https://img-blog.csdnimg.cn/img_convert/80cd777b051ed925941ac6d10e5936d9.png)
![](https://img-blog.csdnimg.cn/img_convert/245038035191322262b3fb6531382e85.png)
12.收集信息发现后台登陆页面 弱口令测试admin admin登录
![](https://img-blog.csdnimg.cn/img_convert/b483db08410f222ddc9915d1c75df50b.png)
13.后台修改模板上传一句话
![](https://img-blog.csdnimg.cn/img_convert/3de9865ad9482f3c6ab021098b8912a6.png)
14.蚁剑设置好代理 链接
![](https://img-blog.csdnimg.cn/img_convert/2da8008205e6f270bc292b59ab99b11d.png)
![](https://img-blog.csdnimg.cn/img_convert/27cc39d6475c0367eb6f80aaab10058a.png)
15.收集信息发现不能执行命令 应该是环境出问题了…换一个目标服务器
![](https://img-blog.csdnimg.cn/img_convert/cc32cc4b2d51635cc16ce8e36ed72b53.png)
16.访问是一个phpstudy探针页面,扫描发现后台登陆页面
![](https://img-blog.csdnimg.cn/img_convert/569b2b15f0826ebe35f9a0d94aa332fe.png)
![](https://img-blog.csdnimg.cn/img_convert/baef3b7aeb40b6c88e7e7f03c829bf41.png)
![](https://img-blog.csdnimg.cn/img_convert/8781490d5d4d914e42def9fb6d7a73d8.png)
17.对用户名进行枚举发现是root ,bp爆破密码登录成功
![](https://img-blog.csdnimg.cn/img_convert/15bc5b93a793f0db71deb1962136af59.png)
18.修改日志保存位置
![](https://img-blog.csdnimg.cn/img_convert/dbca87c54e580b8252ee8d6d6976cc0b.png)
19.写入一句话
![](https://img-blog.csdnimg.cn/img_convert/5902ce80b4ae57bdd443872aa098bc93.png)
20.后门工具链接成功
![](https://img-blog.csdnimg.cn/img_convert/40d897b2d163d69f6dbad0e7f7de5326.png)
21.收集信息发现是一台域内主机 上线cs进行横向
![](https://img-blog.csdnimg.cn/img_convert/aa1ba3b215ea786def9b94a86799bf5e.png)
22.利用插件提权成功
![](https://img-blog.csdnimg.cn/img_convert/92cb432a629ff95c6b774c8cd69610ce.png)
23.收集域内信息 查看域控制器名 和域控IP
![](https://img-blog.csdnimg.cn/img_convert/2b5fba825a797d96ee5d028bd33e717e.png)
![](https://img-blog.csdnimg.cn/img_convert/5b426fe3c82a2f5e1f037cfeca544192.png)
24.抓取域控账户明文密码
![](https://img-blog.csdnimg.cn/img_convert/dc64502bb01aa35b4063c34041fb4811.png)
25.使用cve-2021-42278漏洞exp拿域控shell
(1)Kali配置好代理文件,下载脚本需要的模块并运行
![](https://img-blog.csdnimg.cn/img_convert/ed405adedabe92cb428437b5caf2956e.png)
(2)拿到shell
![](https://img-blog.csdnimg.cn/img_convert/f2a19b18c1d9695ce79e2d0e4e9b8a2b.png)