vulnstack靶機實戰01

前言

vulnstack是紅日安全的一個實戰環境，地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/最近在學習內網滲透方面的相關知識，通過對靶機的滲透來加深理解，下面我們開始。

環境准備

環境已經打包好了，環境拓撲結構如下：

下載好后如下：有三台機器，win7,win2003,win2008。

現在要做的就是模擬內外網環境了，win7是Web服務器，外網能訪問，同時也要能訪問域成員win2003和域控win2008。所以要給win7配置兩張網卡。先配置內網環境，讓其在同一網段，如下，都設置成自定義僅主機模式。

然后再添加一張網卡，我這里把win7和攻擊機kali設置成了自動橋接模擬外網。環境配置完成。

外網探索

拿到外網IP后，咱們第一步就是進行端口掃描，看看開放了哪些端口。說干就干，祭出nmap。掃描結果如下：

發現開放了這么多的端口，激動啊，這樣思路就很多了。說一句題外話，如果現實站點開這么多端口那就是妥妥的蜜罐了。咱們回到這里，有80端口，說明有Web服務，可以從那里起手，但我們發現它開放的445端口，這里直接可以想到ms17-010，看看能不能直接拿到shell。接下來使用MSF，搜索ms17-010，

這里選擇第二個，然后設置payload和要攻擊的IP，如下：

幸福就是這么突然，我們成功拿到了shell,如下：

之后就是添加路由，殺入內網了。既然是靶機實戰，在講解一下通過其他的方式拿下外網服務器。咱們剛才在掃描端口的時候，發現開放了80端口，那就從它下手。現在訪問IP地址如下：

發現是phpstudy探針，其中咱們最開始掃描端口時就已經知道是phpstudy搭建的站點了，nmap已經識別出來了。接下來的思路就是掃目錄，看看有沒有什么資產。我這里使用的是dirmap,御劍也是可以的。兩個工具的掃描結果如下：
dirmap

御劍

差別不大，我們發現了一個備份文件，解壓看一下，發現是yxcms站點的源碼打包，這個cms是開源的，可以直接在搜索引擎搜它之前有沒有被爆出什么漏洞。在實戰中，如果掃出來備份文件，且不是開源的，那么可以直接代碼審計，然后找到相關的漏洞。

接下來，我們搜索發現，這個cms爆出過后台模板寫一句話木馬並getshell的，現在訪問這個站點。通過觀察，發現站點公告處存在信息泄露，現在直接訪問后台並登陸。

實戰中，找到后台，手工測試一下常見弱口令，有驚喜哦。現在按照網上說的，在模板里插入一句話木馬，這里我選擇在首頁index.php中插入。

然后就是訪問首頁，看看有沒有插入成功。結果很滿意，咱們成功了，下面就是通過菜刀連接，拿到shell了。

祭出菜刀，連接。

那么還有沒有其他的姿勢拿到Webshell呢？還記得咱們之前掃描目錄的時候發現的phpmyadmin頁面嗎，現在咱們訪問，並使用root，root弱口令嘗試登陸。幸福就是這么突然，咱們進來了。

phpmyadmin是可以通過日志功能getshell的，現在咱們查詢一下日志功能是否開啟，默認是關閉的。
show variables like "general_log%";

果不其然，這里也是關閉的，不要緊，咱們手動開啟它：set globalgeneral_log='on';
開啟后，設置日志文件的輸出路徑，通過phpinfo查看，直接將日志輸出到Web的絕對路徑下：set global general_log_file ="C:\\phpStudy\\WWW\\phpinfo.php";,未來避免出錯，這里用\

接下來寫入一句話，輸出到日志文件中成功getshell。

接下來就是遨游內網了。寫不動了，歇一歇再遨游吧=_=。