前言
本环境为黑盒测试,在不提供虚拟机帐号密码的情况下进行黑盒测试拿到域控里面的flag。
环境搭建
内网网段:..93.0/24
外网网段:..1.0/24
攻击机:
kali:..1.10
靶场:
CentOS(内):..93.
CentOS(外):..1.
Ubuntu:..93.
域内主机:
Winserver:..93.10
Winserver:..93.20
Windows7:..93.30
其中CentOS可以外网、内网通信,域内主机只能内网之间进行通信
kali跟CentOS能够ping通
拓扑图如下:
内网信息搜集
nmap探测端口
nmap先探测一下出网机即CentOS的端口情况。可以看到开了22、80、端口,初步判断开了web,ssh,数据库应该为MySQL
nmap-T4-sC-sV..1.
这里首先访问下80端口,发现为joomla框架,joomla框架在3.4.6及以下版本是有一个远程rce漏洞的,这里先使用exp直接去打一下
这里看到exp打过去不能够利用那么应该是joomla的版本比较高
这里使用端口扫描软件扫一下后台的文件发现一个管理员的界面
是joomla的后台登录界面,这里尝试使用bp弱口令爆破了一下,无果,只好放弃
这里使用dirsearch进一步进行扫描,发现了一个configuration.php
看一下这个php的内容发现有一个user跟password,联想到开了这个端口,猜测这可能是管理员备份的数据库密码忘记删除了
连接mysql
这里使用navicat尝试连接一下靶机的数据库
可以看到连接成功了
然后就是翻数据找管理员的帐号了,找管理员帐号肯定是找带有user字段跟password字段的,这里我找了一段时间,最后发现umnbt_users这个表跟管理员帐号最相似,但是这里出现了一个问题,我发现password这个地方的密码不是明文
这里试着把密文拿去解密发现解密失败
在搜索的时候发现joomla