渗透测试|从弱口令为入口的一次差不多完整的渗透测试

2022010117382992
通过对目标站点的扫描获取信息,发现开放8081端口

4d1eaf1bec5df879e69dea4eafa9943f47
 对应web服务为phpmyadmin,这种页面我能想到的只有弱口令和空密码了 奈何本人太菜了

4d1eaf1bec5df879e69dea4eafa9943f97
  试了下弱口令root 我进去了 默认密码,有什么好说的

4d1eaf1bec5df879e69dea4eafa9943f127 进了这里首先想到通过日志写shell

前提:

1.Root数据库用户(root权限)

2.网站绝对路径(确定有写入权限)

3.magic_quotes_gpc:Off(关闭)

一三项几乎不用管 一般你root账户登录进去都是很高的权限

剩下的就是找网站绝对路径 点击变量

这貌似也不能通过这个摸索出路径 只好找找其他地方

4d1eaf1bec5df879e69dea4eafa9943f291

我这里使用了dirsearch尝试扫描改站目录,是否用探针文件泄露

扫描出了几个默认的探针名,以为要搞定了 结果访问一看是没有显示的

4d1eaf1bec5df879e69dea4eafa9943f360
貌似没有搞 只有继续尝试下其他方法

这里扫出了tmp文件夹 访问下

4d1eaf1bec5df879e69dea4eafa9943f396
 继续访问

4d1eaf1bec5df879e69dea4eafa9943f404
  继续访问 报错了 成功爆出了网站路径

对比一下url 可以肯定

D:\Code\phpMyAdmin-4.9.0.1-all-languages\

为网站绝对路径:

4d1eaf1bec5df879e69dea4eafa9943f489
有了路径开始sql语句写webshell:

查看日志是否开启

4d1eaf1bec5df879e69dea4eafa9943f522
 开启日志4d1eaf1bec5df879e69dea4eafa9943f529

 添加路径

 

4d1eaf1bec5df879e69dea4eafa9943f536
写上一句话

4d1eaf1bec5df879e69dea4eafa9943f544
 找到文件后 命令执行下 执行成功 拿到shell 开始下一步

4d1eaf1bec5df879e69dea4eafa9943f577
webshell链接:4d1eaf1bec5df879e69dea4eafa9943f591

 sy权限 不用提权

4d1eaf1bec5df879e69dea4eafa9943f603

之后为了进行有效的内网渗透得想办法让目标上线MSF或者CS

这里我选择的上线CS

4d1eaf1bec5df879e69dea4eafa9943f6464d1eaf1bec5df879e69dea4eafa9943f648

  这里我选择的powershell执行文件

4d1eaf1bec5df879e69dea4eafa9943f672
 生成恶意hta文件:

 

4d1eaf1bec5df879e69dea4eafa9943f685
先查看下对面有没有AV

没有AV 奥利给

4d1eaf1bec5df879e69dea4eafa9943f708
Copy恶意链接

终端mshta执行

4d1eaf1bec5df879e69dea4eafa9943f7304d1eaf1bec5df879e69dea4eafa9943f732
 成功上线

4d1eaf1bec5df879e69dea4eafa9943f739
 查看权限 sy

4d1eaf1bec5df879e69dea4eafa9943f749
 开放3389 不上远程的黑客不是好黑客

4d1eaf1bec5df879e69dea4eafa9943f771
 新建个用户YDT

4d1eaf1bec5df879e69dea4eafa9943f782
 提升权限

4d1eaf1bec5df879e69dea4eafa9943f789
 成功远程服务器4d1eaf1bec5df879e69dea4eafa9943f800

 新建的用户桌面没有啥意思 得上线管理员的桌面才有意思 这里我上传个猕猴挑

4d1eaf1bec5df879e69dea4eafa9943f839
 成功拿到管理员账户

4d1eaf1bec5df879e69dea4eafa9943f851
 管理员在线写代码可海星

4d1eaf1bec5df879e69dea4eafa9943f865
 为了世界被破坏 为了维护地球的和平 接下来再用msf做一个权限维持:

4d1eaf1bec5df879e69dea4eafa9943f9024d1eaf1bec5df879e69dea4eafa9943f904
 使用metasploit自带的H门进行权限维持

我这里用的persistence

4d1eaf1bec5df879e69dea4eafa9943f947
X指定启动的方式为开机自启动,-i反向连接的时间间隔(2s) –r 指定攻击者的IP

此时目标C盘已经生成了我们使用msf生成的vbs文件:

4d1eaf1bec5df879e69dea4eafa9943f1020
写入开机启动项:

4d1eaf1bec5df879e69dea4eafa9943f1031
 再次getshell:权限维持结束

4d1eaf1bec5df879e69dea4eafa9943f1033
 准备开溜 把痕迹给清理了:

4d1eaf1bec5df879e69dea4eafa9943f10704d1eaf1bec5df879e69dea4eafa9943f1074
 清除远程连接日志:

4d1eaf1bec5df879e69dea4eafa9943f10864d1eaf1bec5df879e69dea4eafa9943f10882022010117510479

本文来自投稿,不代表安强科技社区立场,如若转载,请注明出处:https://community.anqiangkj.com/archives/2119

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年1月2日 上午12:48
下一篇 2022年1月2日 上午2:14

相关推荐

发表回复

您的电子邮箱地址不会被公开。