當前位置:首頁 > 新聞中心 > 解決方案 感謝一直陪伴的你們!

記一次內網靶場實戰(上篇)

作者:      時間:2021-07-27 17:14:42

前言

本環境為黑盒測試,在不提供虛擬機帳號密碼的情況下進行黑盒測試拿到域控里面的flag。

環境搭建

內網網段:192.168.93.0/24

外網網段:192.168.1.0/24

攻擊機:

kali:192.168.1.10

靶場:

CentOS(內):192.168.93.100

CentOS(外):192.168.1.110

Ubuntu:192.168.93.120

域內主機:

Winserver2012:192.168.93.10

Winserver2008:192.168.93.20

Windows7:192.168.93.30

其中CentOS可以外網、內網通信,域內主機只能內網之間進行通信

kali跟CentOS能夠ping通

![

](image-20210703212359897.png)

拓撲圖如下:

image-20210704161306005.png

內網信息搜集

nmap探測端口

nmap先探測一下出網機即CentOS的端口情況??梢钥吹介_了22、80、3306端口,初步判斷開了web,ssh,數據庫應該為MySQL

nmap -T4 -sC -sV 192.168.1.110

image-20210708153441055.png

這里首先訪問下80端口,發現為joomla框架,joomla框架在3.4.6及以下版本是有一個遠程rce漏洞的,這里先使用exp直接去打一下

image-20210703212714934.png

這里看到exp打過去不能夠利用那么應該是joomla的版本比較高

image-20210703214134142.png

這里使用端口掃描軟件掃一下后臺的文件發現一個管理員的界面

image-20210703220228263.png

是joomla的后臺登錄界面,這里嘗試使用bp弱口令爆破了一下,無果,只好放棄

image-20210703220210430.png

這里使用dirsearch進一步進行掃描,發現了一個configuration.php

image-20210703224806040.png

看一下這個php的內容發現有一個user跟password,聯想到開了3306這個端口,猜測這可能是管理員備份的數據庫密碼忘記刪除了

image-20210704182757078.png

連接mysql

這里使用navicat嘗試連接一下靶機的數據庫

image-20210703222814208.png

可以看到連接成功了

image-20210704184033886.png

然后就是翻數據找管理員的帳號了,找管理員帳號肯定是找帶有user字段跟password字段的,這里我找了一段時間,最后發現umnbt_users這個表跟管理員帳號最相似,但是這里出現了一個問題,我發現password這個地方的密碼不是明文

image-20210703223134913.png

這里試著把密文拿去解密發現解密失敗

image-20210703223115378.png

在搜索的時候發現joomla官網雖然沒有直接公布密碼的加密方式,但是它為了防止用戶忘記密碼增加了一個添加超級管理員用戶的方式,就是通過登錄數據庫執行sql語句達到新建超級管理員的效果

image-20210703223342183.png

這里我們可以發現sql語句中的VALUES中的第三項為密文,這里我們為了方便就是用他給我們的這一串密文,這里對應的密碼為secret,當然也可以用其他對應的密文如下所示

image-20210703223403802.png

在navicat中執行sql語句,注意這里要分開執行兩個INSERT INTO否則回報錯,這里相當于我們添加了一個admin2 secret這個新的超級管理員用戶

image-20210703224722057.png

登錄joomla后臺

使用admin2 secret登錄joomla后臺

image-20210703224725832.png

登錄成功,進入后臺后的操作一般都是找可以上傳文件的地方上傳圖片馬或者找一個能夠寫入sql語句的地方

image-20210703224736111.png

這里經過谷歌后發現,joomla的后臺有一個模板的編輯處可以寫入文件,這里找到Extensions->Template->Templates

image-20210703225516839.png

這里選擇Beez3這個模板進入編輯

image-20210703225616111.png

這里因為模板前面有<?php前綴,所以這里我們需要將一句話木馬稍微變形一下,然后保存即可

image-20210704190651253.png

這里使用蟻劍連接成功

image-20210703231452393.png

(后續見下篇)



免費客戶服務熱線:4006-618-418   027-87315200  87315211  業務咨詢:15527777548    13260607300(微信同號)
業務咨詢QQ:   歡迎光臨老兵IDC 27325619   歡迎光臨老兵IDC 81455950  歡迎光臨老兵IDC 13640069   
技術支持QQ: 歡迎光臨網盾科技 908624     技術支持電話:15307140247(微信同號)

公司地址:湖北省武漢市江夏區五里界街五園路16號

網盾運營中心:湖北省武漢市東湖高新技術開發區華師園北路18號光谷科技港1B棟4樓

《中華人民共和國增值電信業務經營許可證》: 鄂B1-20170032   
Copyright © 2007-  武漢極風云科技有限公司 All rights reserved. 鄂ICP備2020016614號-3

請所有客戶積極遵守《中華人民共和國網絡安全法》要求,合理合規的使用極風云數據的各類IDC云服務產品,網盾科技會遵照安全策略管理和安全制度的執行!

好舒服好爽用力尻我视频