本文详细记录了一次渗透测试的过程,从代码审计发现Getshell机会,到利用Mysql配置文件突破执行命令,获取宝塔后台权限。接着进行内网渗透,通过火绒AV免杀、添加用户、开启RDP,再到利用Redis漏洞写入webshell。随后,通过内网横向移动,利用CVE-2020-1472实现域控提权,最终拿到全部root.txt。整个过程展示了红队成员在渗透测试中的技巧和策略。
目录
本次靶场要求:
四个 root.txt 分别在四台机子用户目录下 拿到三个及格 拿下四个满分
代码审计 Getshell
首先是一个站:cocat.cc
通过提示把它的备份文件下载到了本地进行审计:
Bypass 突破执行命令
通过审计拿到了一个 webshell:
由于当前环境不能执行命令,函数都写死了:
通过翻文件翻到了 Mysql 的配置文件:
本想尝试 Mysql udf 提权绕过发现 Mysql 版本大于 5.1 :
拿到宝塔后台权限
由于当前 web 是宝塔搭建的:
通过翻文件找到了宝塔后台地址:
C:/BtSoft/panel/data/admin_path.pl
然后通过把宝塔的 default.db 文件下载到本地打开,users 表里就是宝塔的登陆账号密码:
md5 是肯定解密不出来的:
这个时候需要替换 md5 或者添加一个用户:
然后把文件保存,上传到目标宝塔目录下:
这个时候使用账号 saulGoodmang 密码 123456 去登陆:
手动把禁用的函数关闭:
然后给他来个重启:
命令执行强行绕过:
拿到第一个 root.txt
flag{moonsec-c20ad4d76fe97759aa27a0c99bff6710-1}
内网渗透一
通过查看进程发现有火绒AV:
随即做免杀上线到 CS:
发现当前内网应该是有其他主机存活的:
通过 nbtscan 发现内网还有一台主机存活:
通过 fscan 也扫描出来内网资产了:
为了进内网直接做了一个 frp socks 代理进去:
扫一扫
6150
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
