Vulnstack(一)

Vulnstack(一),第1张

Vulnstack(一) 0x00 Preface

网上有很多关于 Vulnstack(一) 的优质文章,本篇文章仅用于记录笔者自身的学习过程。因能力有限,过程中多多少少存在不完善的地方或是未解决的问题,日后有机会会补充上。

0x01 环境准备

共有三台机器,Win7是对外的web机,Win2003和Win2008(DC)是内网机器。

  • VM1(Win7)添加一块网卡,分别设置为:VMnet1(仅主机模式)、VMnet8(NAT模式)

  • VM2(Win2003)网卡设置为:VMnet1(仅主机模式)

  • VM2(Win2008)网卡设置为:VMnet1(仅主机模式)

导入虚拟机后不要过多 *** 作如移除打印机等,否则可能会出现一些问题。建议大家每次打开靶机时都先打开Win2008(DC)再打开Win7和Win2003,关闭靶机是先关闭Win7和Win2003再关闭Win2008(DC),尽量避免出现环境问题吧。

首先打开Win2008(DC),使用域成员账号 GODliukaifeng01 初始密码 hongrisec@2019 登录,提示密码已过期,更改密码为 hongrisec@2021。接着切换用户,使用域管理员账号 GODAdministrator 重复上述 *** 作。最后重启Win2008,域数据联网更新后密码将自动同步至Win7与Win2003(域成员账号密码均存储在DC中,域数据更新同步前仍使用本地缓存的密码进行认证)。打开Win7提示激活,直接取消即可:

找到并打开phpstudy.exe,启动服务(若启动失败,重启Win7即可):


打开Firefox访问localhost,已确认服务启动:

整理一下:

攻击机kali:192.168.202.130
域成员Win7:192.168.202.132&192.168.52.143
域控Win2008:192.168.52.138
域成员Win2003:192.168.52.141
DNS服务器:192.168.52.138

当然喽,这是我们站在上帝视角,便于我们确认环境无误的。正常来说,拿到Win7的IP,然后开始我们的渗透之旅。

0x02 信息收集

一、探测靶机IP

使用nmap对同一C段主机进行扫描

nmap -sP 192.168.202.1/24


使用arp-scan对同网段主机进行扫描:

arp-scna -l


在靶机上执行ifconfig进行确认(实战中拿下靶机前无法实现这一步):

二、端口扫描

使用nmap对靶机进行全扫描(扫描前确保phpstudy的服务已成功启动):

nmap -Pn -A 192.168.202.129


使用御剑对靶机进行全扫描:

三、目录扫描

使用dirb对靶机进行目录扫描 :

dirb "http://192.168.202.132"


使用dirmap对靶机进行目录扫描:

python3 dirmap.py -i 192.168.202.132 -lcf


四、指纹识别

使用whatweb对靶机上的网站进行指纹识别:

whtaweb http://192.168.202.132


使用御剑对靶机上的网站进行指纹识别:

使用cmscan对靶机上的网站进行指纹识别:

指纹识别依托于目录爆破,没有扫描到关键的cms信息既可能是字典的问题,也可能是靶机上根本就没有部署这样的网站。

0x03 漏洞探测

访问http://192.168.202.132/phpifno.php:

phpinfo.php中存在许多关键信息,不过要具体漏洞具体分析。

访问http://192.168.202.132/phpmyadmin:

此处可能存在session包含和弱口令,如果成功登录不仅可以可以在数据库中翻阅用户敏感信息,还可以尝试日志包含或直接向文件中写shell。

访问http://192.168.202.132/beifen.rar,解压缩后得到yxcms文件夹:

YXcms是一款基于PHP+MySql开发的网站管理系统,采用轻量级MVC设计模式。

在protectedconfig.php中找到phpmyadmin的用户名和密码:

尝试访问http://192.168.202.132/yxcms:

访问成功,并在公告信息处找到后台路径及用户名和密码,若成功登陆则可尝试写shell。

0x04 漏洞利用

一、phpmyadmin

登录phpmyadmin,查看用户权限:

show grants for root@localhost;


查看secure_file_priv:

show variables like "secure";


查看general_log和general_log_file:

show variables like "%general%";


打开日志并修改日志路径:

set global general_log="on"; #开启日志
set global general_log_file="C:/phpStudy/WWW/a.php" #修改日志路径

需要注意的是,secure_file_priv的值无法通过上述方法进行修改:

MySQL 文件读写

写shell后一键连接:

select "";



二、yxcms

登录后台尝试写shell:

编辑index_index.php(path:/yxcms/index.php),写shell后一键连接:

0x05 权限提升

使用CS建立监听后生成可执行木马:

使用shell上传:

shell中执行:

成功上线:

进行漏洞提权:


成功获取system权限:

0x06 远程登录

获取凭证:

查看3389端口是否开启:

netstat -ano|findstr "3389"


开启3389端口:

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f


补充一下,关闭3389端口&开启3389端口的另一种方法:

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f
wmic RDTOGGLE WHERe ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1


远程连接:

远程连接失败,本地ping一下试试:

无法ping通,猜测受到防火墙阻拦,关闭防火墙:

net stop mpssvc


成功关闭后仍无法ping通,远程连接失败:

使用CS可以轻松连接,但延迟会很高:

0x07 权限维持

将C:/phpStudy/WWW/artifact.exe添加为注册表启动项:

reg add "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun" /v evil /t REG_SZ /d "C:phpStudyWWWartifact.exe" /f


关闭Win7并重启CS:

重启Win7,未能成功上线,权限维持失败。经检验,在shell中执行的命令未能生效,而在本地执行该命令就能成功创建:


具体原因暂且不详,也可以尝试一下其他方法如写入Startup目录,或者直接使用CS插件。

0x08 横向移动

一、内网穿透

正常来说,我们是无法访问通过Win7的内网IP访问服务的:

因此想要漫游内网,就必须要进行内网穿透。这里我们以Win7为跳板,给它挂上代理:

然后随便选择一个未被占用的端口,这里我选的是9050:

然后使用proxychain为我kali挂上代理:

vim /etc/proxychains4.conf


使用代理,成功通过Win7内网IP访问服务:

proxychains4 curl http://192.168.52.143


需要注意的是,不要用ping进行验证,因为proxychains只会代理TCP连接,而ping使用的是ICMP。

二、信息收集

查看域信息:

net view


共发现三台主机。注意这里不要使用提权后的system用户去执行命令,否则不会显示Win7的STU1,此外还会导致后面的一些命令无法执行。

查看DNS服务器:

ipconfig/all


查看当前登录域与用户信息:

net config workstation


这条命令查询到的信息非常全,包含上条命令查询到的DNS服务器。

前面的命令在CS中都以shell开头,指明执行的是cmd命令。下面我们通过CS内置的功能进行信息收集(前面已经完成了内网穿透,使用kali上的nmap等工具也行,这里不再进行演示)。

探测域内存活主机:


不对啊,这45.xx.xx.xx是几个意思?应该是环境问题,确保三台靶机都是开启状态再执行一次:


感觉还是有问题的,不知道是什么原因导致的,暂且不管了。

端口扫描:


这次的IP应该是正确的了,端口扫描发现三台主机均开启了139端口:

445/139端口怎么利用不用多说了吧,不了解的自行百度永恒之蓝。

三、漏洞利用

首先我们开启一个SMB监听:


然后利用CS内置的jump模块进行漏洞利用:


0x09 Summary

整体来说比较简单,445/139 yyds,过一段时间会再用msf走一遍这个靶场,到时候再做补充。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zaji/5443742.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-12-11
下一篇 2022-12-11

发表评论

登录后才能评论

评论列表(0条)

保存