http://vulnstack.qiyuanxuetang.net/vuln/

一、环境部署

win7(被攻击机/关火墙)   web服务器     1张外网网卡(桥接192.168.1.105)，一张内网网卡192.168.52.143/255.255.255.0/192.168.52.2 DNS 192.168.52.138
winser2008              域控服务器          1张内网网卡192.168.52.138/255.255.255.0/192.168.52.2 DNS 192.168.52.138
winser2003             域内主机              1张内网网卡192.168.52.141/255.255.255.0/192.168.52.2 DNS 192.168.52.138
密码：hongrisec@2019 新密码hongrisec@2025

win7要去C盘开启phpStudy(如果报错就重启)

# windows有2套账号：
本地账号\工作组账号 (登录时只需要输入本地【用户名】和【密码】)
    DESKTOP-A233S3\Administrator
    机器名\账户名

域账号（登录时需要输入【域名\账号】和【密码】）
    GODdomain\xiaoling
    域名\账户名

如何查看当前用户是域用户还是本地用户
hostname 查看本地机器名称，whoami 查看当前登录用户（stud1\admin）
对比登录的时候使用的是域账号还是本地账号，比如域账号(gaddomain\admin)

工作组(本地)账号只能登录自己电脑
域账号可以登录任意电脑，域管理员可以给任意电脑创建本地管理员账号

二、信息收集

• ip地址、子域名、目录结构、js信息、APP和小程序、端口、旁站、C段、whois信息、公司结构、公司相关邮箱、等等

1、先对win7-web服务器进行端口扫描

# nmap -Pn 192.168.1.105
PORT     STATE SERVICE
80/tcp   open  http
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
1025/tcp open  NFS-or-IIS
1026/tcp open  LSA-or-nterm
1027/tcp open  IIS
1028/tcp open  unknown
1029/tcp open  ms-lsa
1030/tcp open  iad1
3306/tcp open  mysql
5357/tcp open  wsdapi

根据不同端口实施不同渗透手段，具体可以百度搜或问chartgpt

2、寻找漏洞的存在

• 找漏洞有2种方式：
  逐个测试：通过sql注入、文件上传、抓包等方式一个一个去测漏洞是否存在，比较耗时间
  根据页面找特征：比如网站用的PHPMyadmin去找该页面有没有已知漏洞，比如phpinfo页面去找已知getshell漏洞等

(1) 通过FUZZ找到了如下页面
http://192.168.1.105/phpmyadmin/robots.txt       # 爬虫指引页面 空的
http://192.168.1.105/phpMyAdmin/index.php      # mysql后台登录页面
http://192.168.1.105/phpinfo.php                        # phpinfo页面
http://192.168.1.105/l.php                                   # phpStudy 探针页面
http://192.168.1.105/phpMyAdmin/webapp.php  # 能下载文件phpMyAdmin.webapp
(2) 网上查找phpmyadmin getshell 已知漏洞