vulnstack靶机实战01

前言

vulnstack是红日安全的一个实战环境，地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/最近在学习内网渗透方面的相关知识，通过对靶机的渗透来加深理解，下面我们开始。

环境准备

环境已经打包好了，环境拓扑结构如下：

下载好后如下：有三台机器，win7,win2003,win2008。

现在要做的就是模拟内外网环境了，win7是Web服务器，外网能访问，同时也要能访问域成员win2003和域控win2008。所以要给win7配置两张网卡。先配置内网环境，让其在同一网段，如下，都设置成自定义仅主机模式。

然后再添加一张网卡，我这里把win7和攻击机kali设置成了自动桥接模拟外网。环境配置完成。

外网探索

拿到外网IP后，咱们第一步就是进行端口扫描，看看开放了哪些端口。说干就干，祭出nmap。扫描结果如下：

发现开放了这么多的端口，激动啊，这样思路就很多了。说一句题外话，如果现实站点开这么多端口那就是妥妥的蜜罐了。咱们回到这里，有80端口，说明有Web服务，可以从那里起手，但我们发现它开放的445端口，这里直接可以想到ms17-010，看看能不能直接拿到shell。接下来使用MSF，搜索ms17-010，

这里选择第二个，然后设置payload和要攻击的IP，如下：

幸福就是这么突然，我们成功拿到了shell,如下：

之后就是添加路由，杀入内网了。既然是靶机实战，在讲解一下通过其他的方式拿下外网服务器。咱们刚才在扫描端口的时候，发现开放了80端口，那就从它下手。现在访问IP地址如下：

发现是phpstudy探针，其中咱们最开始扫描端口时就已经知道是phpstudy搭建的站点了，nmap已经识别出来了。接下来的思路就是扫目录，看看有没有什么资产。我这里使用的是dirmap,御剑也是可以的。两个工具的扫描结果如下： dirmap

御剑

差别不大，我们发现了一个备份文件，解压看一下，发现是yxcms站点的源码打包，这个cms是开源的，可以直接在搜索引擎搜它之前有没有被爆出什么漏洞。在实战中，如果扫出来备份文件，且不是开源的，那么可以直接代码审计，然后找到相关的漏洞。

接下来，我们搜索发现，这个cms爆出过后台模板写一句话木马并getshell的，现在访问这个站点。通过观察，发现站点公告处存在信息泄露，现在直接访问后台并登陆。

实战中，找到后台，手工测试一下常见弱口令，有惊喜哦。现在按照网上说的，在模板里插入一句话木马，这里我选择在首页index.php中插入。

然后就是访问首页，看看有没有插入成功。结果很满意，咱们成功了，下面就是通过菜刀连接，拿到shell了。

祭出菜刀，连接。

那么还有没有其他的姿势拿到Webshell呢？还记得咱们之前扫描目录的时候发现的phpmyadmin页面吗，现在咱们访问，并使用root，root弱口令尝试登陆。幸福就是这么突然，咱们进来了。

phpmyadmin是可以通过日志功能getshell的，现在咱们查询一下日志功能是否开启，默认是关闭的。 show variables like "general_log%";

果不其然，这里也是关闭的，不要紧，咱们手动开启它：set globalgeneral_log='on'; 开启后，设置日志文件的输出路径，通过phpinfo查看，直接将日志输出到Web的绝对路径下：set global general_log_file ="C:\\phpStudy\\WWW\\phpinfo.php";,未来避免出错，这里用\

接下来写入一句话，输出到日志文件中成功getshell。

接下来就是遨游内网了。写不动了，歇一歇再遨游吧=_=。