前言
vulnstack是紅日安全的一個實戰環境,地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/最近在學習內網滲透方面的相關知識,通過對靶機的滲透來加深理解,下面我們開始。
環境準備
環境已經打包好了,環境拓撲結構如下:
下載好後如下:有三臺機器,win7,win2003,win2008。
現在要做的就是模擬內外網環境了,win7是Web伺服器,外網能訪問,同時也要能訪問域成員win2003和域控win2008。所以要給win7配置兩張網路卡。先配置內網環境,讓其在同一網段,如下,都設定成自定義僅主機模式。
然後再新增一張網路卡,我這裡把win7和攻擊機kali設定成了自動橋接模擬外網。環境配置完成。
外網探索
拿到外網IP後,我們們第一步就是進行埠掃描,看看開放了哪些埠。說幹就幹,祭出nmap。掃描結果如下:
發現開放了這麼多的埠,激動啊,這樣思路就很多了。說一句題外話,如果現實站點開這麼多埠那就是妥妥的蜜罐了。我們們回到這裡,有80埠,說明有Web服務,可以從那裡起手,但我們發現它開放的445埠,這裡直接可以想到ms17-010,看看能不能直接拿到shell。接下來使用MSF,搜尋ms17-010,
這裡選擇第二個,然後設定payload和要攻擊的IP,如下:
幸福就是這麼突然,我們成功拿到了shell,如下:
之後就是新增路由,殺入內網了。既然是靶機實戰,在講解一下通過其他的方式拿下外網伺服器。我們們剛才在掃描埠的時候,發現開放了80埠,那就從它下手。現在訪問IP地址如下:
發現是phpstudy探針,其中我們們最開始掃描埠時就已經知道是phpstudy搭建的站點了,nmap已經識別出來了。接下來的思路就是掃目錄,看看有沒有什麼資產。我這裡使用的是dirmap,御劍也是可以的。兩個工具的掃描結果如下:
dirmap
御劍
差別不大,我們發現了一個備份檔案,解壓看一下,發現是yxcms站點的原始碼打包,這個cms是開源的,可以直接在搜尋引擎搜它之前有沒有被爆出什麼漏洞。在實戰中,如果掃出來備份檔案,且不是開源的,那麼可以直接程式碼審計,然後找到相關的漏洞。
接下來,我們搜尋發現,這個cms爆出過後臺模板寫一句話木馬並getshell的,現在訪問這個站點。通過觀察,發現站點公告處存在資訊洩露,現在直接訪問後臺並登陸。
實戰中,找到後臺,手工測試一下常見弱口令,有驚喜哦。現在按照網上說的,在模板裡插入一句話木馬,這裡我選擇在首頁index.php中插入。
然後就是訪問首頁,看看有沒有插入成功。結果很滿意,我們們成功了,下面就是通過菜刀連線,拿到shell了。
祭出菜刀,連線。
那麼還有沒有其他的姿勢拿到Webshell呢?還記得我們們之前掃描目錄的時候發現的phpmyadmin頁面嗎,現在我們們訪問,並使用root,root弱口令嘗試登陸。幸福就是這麼突然,我們們進來了。
phpmyadmin是可以通過日誌功能getshell的,現在我們們查詢一下日誌功能是否開啟,預設是關閉的。
show variables like "general_log%";
果不其然,這裡也是關閉的,不要緊,我們們手動開啟它:set globalgeneral_log='on';
開啟後,設定日誌檔案的輸出路徑,通過phpinfo檢視,直接將日誌輸出到Web的絕對路徑下:set global general_log_file ="C:\\phpStudy\\WWW\\phpinfo.php";,未來避免出錯,這裡用\
接下來寫入一句話,輸出到日誌檔案中成功getshell。
接下來就是遨遊內網了。寫不動了,歇一歇再遨遊吧=_=。