Vulnstack 红日安全内网靶场[一]

环境搭建

靶场下载链接：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
虚拟机所有统一密码：hongrisec@2019(有的会提示密码已过期，随便改改 我改成了Hongrisec@2019)
网络拓扑图如下：

这里我设置的网络是VMnet3和VMnet8，其实无所谓设置哪两个网络，最重要的是需要两个网络，且不能在同一个网段内（因为需要一个做外网一个做内网）

ip配置如下：

1. kali (攻击机)：192.168.236.128 （VMnet8 网卡分配的IP）
2. Windows 7 (web服务器)：192.168.236.132（外网和kali连通）、192.168.52.143（内网ip）
3. Windows 2008 (域控)：192.168.52.138
4. Win2k3 (域管)：192.168.22.

复制代码

【注意】实际上域环境三台虚拟机的 IP 初始状态就已经被配置为固定的 192.168.52.XXX/24网段（同时已配置好域控 IP 必定为 192.168.52.138），故 我们要设置的内网网卡 即 VMware 的 VMnet3 网卡应注意也配置为 192.168.52.XXX/24 网段  (把VMnet3改成其他的也可以，但是那样还需要自己去网络里修改一下被配置的固定192.168.52.XXX/24网段  麻烦一点，就用52吧)
(1) 配置Win7 web服务器网络

从网络拓扑图得知，需要模拟内网和外网两个网段， Win7 虚拟机相当于网关服务器，所以需要两张网卡，故需要配置两个网络适配器（网卡），点击添加网络设配器：

右键右下角电脑图标 -> 打开网络和共享中心 -> 更改适配器设置 -> 右键网络本地连接(点属性) -> 选Internet 协议版本 4(TCP/ipv4) 即可设置IP地址为 192.168.236.132

能ping 通kali机，说明和外网已经连通了，这里还有一点就是记得把WIndows 7这个web服务器防火墙的关闭，否则kali会ping 不通

同理 内网ip设置为：

ping一下DC机，域内网络也配置正常
在 Win7 外网服务器主机的 C 盘找到 PhpStudy 启动 Web 服务（模拟外网 Web 站点）：

开启之后，我们在我们的主机 访问一下win7，可以正常访问到PHP探针

这样我们的环境就相当于是配置好啦
(2) 配置 Winserver 2008网络(DC域控)

hongrisec@2019 登录的时候，显示密码过期   自己改成了 Hongrisec@2019

Win2008 DC域控主机ip为 192.168.52.138 默认配好了的

(3) 配置 Win2003/win2k3网络(域成员)

域内主机 win2003 ip为192.168.236.141  与外网不连通

外网边界突破

(1) 信息收集(弱口令+开放了phpmyadmin、yxcms)

在外网站点看见了一个MySQL 连接检测：

检测一下，存在弱口令  root:root 连接正常   但单从这只能检测，还利用不了呢
扫一下目录，看看有什么东西。扫描到了 phpmyadmin

访问/phpmyadmin 使用 刚刚检测到的 root:root 登录一下，成功登录进去了

phpmyadmin是一个以 PHP 为基础，以 Web-Base 方式架构在网站主机上的 MySQL 的数据库管理工具，让管理者可用 Web 接口管理 MySQL 数据库
在里面看见了mysql数据库和一个 yxcms的数据库，应该也存在一个yxcms服务
(2) PhpMyAdmin 后台 Getshell

phpmyadmin有两种getshell方式：

• into outfile导出木马
  
• 利用Mysql日志文件getshell
  

我们挨个试一下。
-尝试into outfile导出木马（失败）

执行 select @@basedir; 查看一下网站的路径

路径为：C:/phpStudy/MySQL/
再执行 select '' into outfile 'C:/phpStudy/www/hack.php'; 直接将木马写入到 www网站根目录下    失败

这是因为 Mysql新特性secure_file_priv会对读写文件产生影响，该参数用来限制导入导出。我们可以借助show global variables like '%secure%';命令来查看该参数

当secure_file_priv为NULL时，表示限制Mysql不允许导入导出，这里为NULL。所以into outfile写入木马出错。要想使得该语句导出成功，则需要在Mysql文件夹下修改my.ini 文件，在[mysqld]内加入secure_file_priv =""。
直接写入木马不行，那我们就换另一种方法---Mysql日志文件写入shell
-利用Mysql日志文件写入shell

先执行命令：show variables like '%general%'; 查看日志状态：

当开启 general_log 时，所执行的 SQL 语句都会出现在 stu1.log 文件中。那么如果修改 general_log_file 的值为一个php文件，则所执行的 SQL 语句就会对应生成在对应的文件中，进而可 Getshell
SET GLOBAL general_log='on'
开启 general_log
SET GLOBAL general_log_file='C:/phpStudy/www/hack.php'
指定日志写入到网站根目录的 hack.php 文件

然后接下来执行 SQL 语句：SELECT ''，即可将一句话木马写入 hack.php 文件中 访问/hack.php 成功写入

上蚁剑  连上去了

(3)yxcms后台上传getshell

前面我们登录进去之后，可以看到还有一个yxcms的数据库，同时我们进入后台之后，可以看到一个 beifen.rar备份文件和yxcms目录，这道题其实还有一种getshell的方法，这里我们也记录一下。 字典不够强大，没扫出来 beifen.rar和 /yxcms
访问/yxcms，可以看到在公告处，泄露了 yxcms的admin后台登录路径 以及 默认的密码

成功登录到后台


xxcms，既然后台都登录到了，那拿shell还不简单吗，一般就是找一找模板编辑的地方，写入一句话
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！