虛擬網絡卡配置

環境問題：

1. 虛擬機器橋接獲取不到IP地址，通過還原預設設定，指定物理網絡卡解決

1. 靶機1，內網網絡卡獲取不到IP地址，通過新增配置檔案解決。

開始滲透：

Kali:192.168.1.13

Centos7:192.168.1.16

192.168.22.11

掃埠

使用nmap 順便掃漏洞

nmap -sS -A 192.168.101.91 --script=vuln

比較慢，沒有截圖

訪問80

測試寶塔未授權訪問漏洞，不存在

檢視robots.txt發現flag1

百度搜索thinkphp v5 漏洞，發現遠端程式碼執行漏洞

https://www.cnblogs.com/backlion/p/10106676.html

http://192.168.1.16/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

利用命令執行，看到flag2:

寫入一句話木馬

在利用命令執行找寫入的木馬的時候，發現了第三個flag

重新換了一個payload寫入一句話木馬shy.php，之前那個寫入成功，但是找不到路徑

使用菜刀進行連線

資訊收集：

1，uname -a

Linux 3.10.0-1062.1.1.el7.x86_64 x86_64

核心版本：3

主修訂版本：10

0-1062：次要修訂版本

1. 補丁版本

2,hostnamectl

Centos 7 x86

根據收集的資訊，利用msf生成相關的payload

利用菜刀將生成的木馬檔案上傳

菜刀給許可權並執行

Msf接收到shell

Pyhotn –c ‘import pty; pty.spawn(“/bin/bash”)’建立互動式shell

嘗試suid提權：

find / -user root –perm -4000 -print 2>/dev/null

檢視passwd shadow是否可寫

如何可寫，將 passwd 的 root 密碼 X 替換為我們自己的 hash，如替換為自己 linux 裡的 hash，可修改目標的 root 密碼

Shadow是否可讀，可讀就可爆破

Sudo 是否濫用，問題是我連www使用者的密碼都不知道，我是否可以修改自己的密碼，剛測試了不行

sudo 是讓普通使用者使用超級使用者的命令。其配置檔案為 /etc/sudoers，檔案定義可以執行 sudo 的賬戶、定義某個應用程式用 root 訪問、是否需要密碼驗證。

檢視可以執行哪些命令，即不需要知道 root 密碼時，需驗證自身普通許可權的密碼

sudo awk 'BEGIN {system("/bin/sh")}'

sudo man man

sudo curl file:///etc/shadow

https://gtfobins.github.io/

檢視計劃任務：也沒有

核心棧溢位提權

算了 不提權了 直接內網滲透

檢視IP存在22網段

新增路由

設定代理

測試代理是否設定成功，無法ping通（不在同一網段），卻能訪問，代理設定成功

利用nmap 掃描，發現內網22網段存活主機22.22

使用nmap 進行詳細的掃描

發現開啟了80埠，火狐瀏覽器配置代理

訪問80埠

原始碼中發現提示

開跑

proxychains sqlmap -u "192.168.22.22/index.php?r=vul&keyword=1" -p keyword

暴庫

爆表

爆欄位

爆密碼

Robots檔案發現後臺地址

登陸後臺發現flag

然後再後臺卡了很久，為什可利用的點太多了，檔案上傳，資料庫備份，資料庫命令執行，導致。。。耽誤了很長時間

後臺管理修改模版（這個地方卡了很久，新建，或者在其他檔案中修改都不行，得在index檔案中修改，然後讓它自動執行）

訪問利用phpinfo()，獲得網站根目錄

http://192.168.22.22/index.php?r=tag

物理機上配置代理，因為kali無法使用菜刀

使用代理工具

使用菜刀連線

使用菜刀虛擬終端，發現竟然還有個33網段

資訊收集ubuntu x86

利用msf生成後門檔案，因為這臺伺服器位於內網，不是邊界機，無法訪問到我們的攻擊機，因此不能使用reverse_tcp反向連結，只能使用bind_tcp，正向連線，bind_tcp會在伺服器上開啟一個埠，msf主動去連線這個埠。至於開啟什麼埠則是由攻擊機msf生成後門檔案的時候確定的。

生成

並菜刀上傳到22.22的機器

Msf配置監聽（注意：這裡的埠要與生成時候的埠一致）

菜刀上執行，msf獲取到shell

發現有個33網段

新增路由

掃描存活主機，用指定少幾個埠的方式，發現了內網存活主機33.33

單獨掃描33.33開放的埠

開啟了445埠，直接利用msf17_010

載入kiwi模組load kiwi

help kiwi檢視幫助

creds_all列舉所有的憑據

新建使用者

成功登陸