Vulnstack 红日安全内网靶场[一]
环境搭建靶场下载链接:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
虚拟机所有统一密码:hongrisec@2019(有的会提示密码已过期,随便改改 我改成了Hongrisec@2019)
网络拓扑图如下:
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230309202513912-2072192058.png
这里我设置的网络是VMnet3和VMnet8,其实无所谓设置哪两个网络,最重要的是需要两个网络,且不能在同一个网段内(因为需要一个做外网一个做内网)
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230309212500653-720406678.png
ip配置如下:
kali (攻击机):192.168.236.128 (VMnet8 网卡分配的IP)
Windows 7 (web服务器):192.168.236.132(外网和kali连通)、192.168.52.143(内网ip)
Windows 2008 (域控):192.168.52.138
Win2k3 (域管):192.168.22.【注意】实际上域环境三台虚拟机的 IP 初始状态就已经被配置为固定的 192.168.52.XXX/24网段(同时已配置好域控 IP 必定为 192.168.52.138),故 我们要设置的内网网卡 即 VMware 的 VMnet3 网卡应注意也配置为 192.168.52.XXX/24 网段(把VMnet3改成其他的也可以,但是那样还需要自己去网络里修改一下被配置的固定192.168.52.XXX/24网段麻烦一点,就用52吧)
(1) 配置Win7 web服务器网络
从网络拓扑图得知,需要模拟内网和外网两个网段, Win7 虚拟机相当于网关服务器,所以需要两张网卡,故需要配置两个网络适配器(网卡),点击添加网络设配器:
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230309212705872-712435605.png
右键右下角电脑图标 -> 打开网络和共享中心 -> 更改适配器设置 -> 右键网络本地连接(点属性) -> 选Internet 协议版本 4(TCP/ipv4) 即可设置IP地址为 192.168.236.132
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230309213437049-617388238.png
能ping 通kali机,说明和外网已经连通了,这里还有一点就是记得把WIndows 7这个web服务器防火墙的关闭,否则kali会ping 不通
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230309213932511-1928891713.png
同理 内网ip设置为:
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230309213643079-1608053267.png
ping一下DC机,域内网络也配置正常
在 Win7 外网服务器主机的 C 盘找到 PhpStudy 启动 Web 服务(模拟外网 Web 站点):
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315175734413-264651648.png
开启之后,我们在我们的主机 访问一下win7,可以正常访问到PHP探针
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315175914363-1511025758.png
这样我们的环境就相当于是配置好啦
(2) 配置 Winserver 2008网络(DC域控)
hongrisec@2019 登录的时候,显示密码过期 自己改成了 Hongrisec@2019
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315173213438-1681522261.png
Win2008 DC域控主机ip为 192.168.52.138 默认配好了的
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315173616495-1279208402.png
(3) 配置 Win2003/win2k3网络(域成员)
域内主机 win2003 ip为192.168.236.141与外网不连通
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315175229095-561473635.png
外网边界突破
(1) 信息收集(弱口令+开放了phpmyadmin、yxcms)
在外网站点看见了一个MySQL 连接检测:
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315180925585-1188872974.png
检测一下,存在弱口令root:root 连接正常 但单从这只能检测,还利用不了呢
扫一下目录,看看有什么东西。扫描到了 phpmyadmin
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315181450186-2045186056.png
访问/phpmyadmin 使用 刚刚检测到的 root:root 登录一下,成功登录进去了
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315181631294-776244288.png
phpmyadmin是一个以 PHP 为基础,以 Web-Base 方式架构在网站主机上的 MySQL 的数据库管理工具,让管理者可用 Web 接口管理 MySQL 数据库
在里面看见了mysql数据库和一个 yxcms的数据库,应该也存在一个yxcms服务
(2) PhpMyAdmin 后台 Getshell
phpmyadmin有两种getshell方式:
[*]into outfile导出木马
[*]利用Mysql日志文件getshell
我们挨个试一下。
-尝试into outfile导出木马(失败)
执行 select @@basedir; 查看一下网站的路径
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315182531731-1987192005.png
路径为:C:/phpStudy/MySQL/
再执行 select '' into outfile 'C:/phpStudy/www/hack.php'; 直接将木马写入到 www网站根目录下 失败
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315182827245-334324103.png
这是因为 Mysql新特性secure_file_priv会对读写文件产生影响,该参数用来限制导入导出。我们可以借助show global variables like '%secure%';命令来查看该参数
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315183007445-2103222599.png
当secure_file_priv为NULL时,表示限制Mysql不允许导入导出,这里为NULL。所以into outfile写入木马出错。要想使得该语句导出成功,则需要在Mysql文件夹下修改my.ini 文件,在内加入secure_file_priv =""。
直接写入木马不行,那我们就换另一种方法---Mysql日志文件写入shell
-利用Mysql日志文件写入shell
先执行命令:show variables like '%general%'; 查看日志状态:
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315183624844-1253055822.png
当开启 general_log 时,所执行的 SQL 语句都会出现在 stu1.log 文件中。那么如果修改 general_log_file 的值为一个php文件,则所执行的 SQL 语句就会对应生成在对应的文件中,进而可 Getshell
SET GLOBAL general_log='on'
开启 general_log
SET GLOBAL general_log_file='C:/phpStudy/www/hack.php'
指定日志写入到网站根目录的 hack.php 文件
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315184348352-1477207232.png
然后接下来执行 SQL 语句:SELECT '',即可将一句话木马写入 hack.php 文件中 访问/hack.php 成功写入
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315184548170-2090375042.png
上蚁剑连上去了
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315185024347-255048480.png
(3)yxcms后台上传getshell
前面我们登录进去之后,可以看到还有一个yxcms的数据库,同时我们进入后台之后,可以看到一个 beifen.rar备份文件和yxcms目录,这道题其实还有一种getshell的方法,这里我们也记录一下。 字典不够强大,没扫出来 beifen.rar和 /yxcms
访问/yxcms,可以看到在公告处,泄露了 yxcms的admin后台登录路径 以及 默认的密码
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315195959223-1060970212.png
成功登录到后台
https://img2023.cnblogs.com/blog/3074366/202303/3074366-20230315200128746-1818698453.png
xxcms,既然后台都登录到了,那拿shell还不简单吗,一般就是找一找模板编辑的地方,写入一句话
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]