某学校渗透测试实训小记

admin
admin
admin
138876
文章
114
评论
2024年10月3日14:48:25评论22 views字数 2142阅读7分8秒阅读模式

免责声明由于传播、利用本公众号SSP安全研究所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号SSP安全研究及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

前言

朋友的实训,较简单。吾实验有点取巧了,猜测本意是通过web漏洞横向,吾使用的hash横向。

信息收集

对内网ip进行扫描

发现172.20.10.10为目标主机

对其进行端口扫描

fscan -h 172.20.10.10 -np

某学校渗透测试实训小记

发现目标存在thinkphp web服务

访问后发现为schoolcms

某学校渗透测试实训小记

对其进行目录扫描

某学校渗透测试实训小记

发现admin后台

地址为:

http://172.20.10.10/admin.php?m=Admin&c=Admin&a=LoginInfo

某学校渗透测试实训小记

没有验证码 对其进行密码爆破

发现用户名密码为admin/admin888

某学校渗透测试实训小记

成功登陆后台

某学校渗透测试实训小记

shcoolcms getshell

站点配置-->站点设置存在文件上传点

某学校渗透测试实训小记

上传图片马

某学校渗透测试实训小记
某学校渗透测试实训小记

使用冰蝎进行连接

某学校渗透测试实训小记

内网渗透

某学校渗透测试实训小记

上传frp进行内网渗透

某学校渗透测试实训小记

使用fscan进行内网扫描

proxychains4 -q fscan -h 192.168.29.134 -np

某学校渗透测试实训小记

192.168.29.134存在ms17010, 经过后续测试为误报 msf没有扫出来

cs上线winserver2012

某学校渗透测试实训小记
某学校渗透测试实训小记

成功上线

某学校渗透测试实训小记

使用potato提权

某学校渗透测试实训小记

成功获取到windows server2012的system权限

某学校渗透测试实训小记

抓取server2012的凭据 使用凭据进行横向

成功横向到192.168.29.134 windows server 2008r2

某学校渗透测试实训小记
某学校渗透测试实训小记

同样使用server2012的凭据进行横向

横向到192.168.239.132这台主机

某学校渗透测试实训小记

在主机C:UsersAdministratorDesktopflag.txt 找到flag

某学校渗透测试实训小记

flag{5rKh6ZSZ77yM5oiR5pivd2luN+S4iueahEZsYWc=}

某学校渗透测试实训小记

对192.168.239.1/24 网段进行扫描 扫到存活主机192.168.239.128

某学校渗透测试实训小记

配置代理检测连通性

某学校渗透测试实训小记
某学校渗透测试实训小记

对192.168.239.128进行扫描 发现开放80端口

打开winserver2012的远程桌面使用获取的凭据 进行连接

某学校渗透测试实训小记

成功登陆yduser用户

某学校渗透测试实训小记

通过server2012的远程桌面登陆到2008r2的远程桌面

用户Administrator 密码Huawei@123321

登录成功后即可访问到192.168.239.128开放的服务

某学校渗透测试实训小记

搭建stowaway多级代理对此网站进行渗透

某学校渗透测试实训小记
某学校渗透测试实训小记

站点为Drupal7

某学校渗透测试实训小记

使用msf拿到一个session

某学校渗透测试实训小记

flag1:Every good CMS needs a config file - and so do you.

某学校渗透测试实训小记

flag2:<?php

/**

* flag2

* Brute force and dictionary attacks aren't the

* only ways to gain access (and you WILL need access).

* What can you do with these credentials?

*/

$databases = array (

'default' =>

array (

'default' =>

array (

'database' => 'drupaldb',

'username' => 'dbuser',

'password' => 'R0ck3t',

'host' => 'localhost',

'port' => '',

'driver' => 'mysql',

'prefix' => '',

),

),

);

某学校渗透测试实训小记

修改网站密码为1234

某学校渗透测试实训小记

登录后发现flag3

Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.

某学校渗透测试实训小记

在/etc/passwd中发现flag4

Can you use this same method to find or access the flag in root?

Probably. But perhaps it's not that easy.  Or maybe it is?

某学校渗透测试实训小记
某学校渗透测试实训小记

提权后发现最后一个flag

某学校渗透测试实训小记
某学校渗透测试实训小记

u0035u0072u004bu0068u0036u005au0053u005au0037u0037u0079u004du0035u006fu0069u0052u0035u0062u0043u0078u0035u0070u0069u0076u0035u0070u0079u0041u0035u0037u0075u0049u0035u0035u0071u0045u0036u0059u004bu006au0035u004cu0069u0071u005au006du0078u0068u005au0079u0045u0068

5rKh6ZSZ77yM5oiR5bCx5piv5pyA57uI55qE6YKj5LiqZmxhZyEh

防护可以部署waf和服务器防护软件

往期精彩

面试渗透安全岗位,这些问题不会可不行
Spear渗透工具箱Windows版本已编译
MuMu模拟器Frida 逆向某颜色APP实战
Windows权限提升方式总结
域内武器化工具1.5W字详解(适合快速复制粘贴命令)

原文始发于微信公众号(SSP安全研究):某学校渗透测试实训小记

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月3日14:48:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某学校渗透测试实训小记https://cn-sec.com/archives/3229589.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息