VulnStack3靶场渗透笔记:当PHPStudy遇上Joomla弱口令,我是如何一步步摸进域环境的
VulnStack3靶场渗透实战:从Joomla弱口令到域控突破的完整复盘
第一次接触VulnStack3靶场时,那种面对未知环境的迷茫感至今记忆犹新。作为渗透测试新手,我原以为按照标准流程就能轻松通关,没想到从信息收集开始就频频踩坑。本文将完整还原这段充满试错的学习历程,特别适合那些刚入门红队技术却苦于教程跳步太多的朋友。
1. 信息收集的陷阱与转机
靶机IP扫描显示开放了80和3306端口,首页是典型的Joomla CMS界面。使用Wappalyzer检测时,一个意外的"S2-007"漏洞提示让我兴奋不已——直到尝试所有公开exp都失败后,才意识到这是扫描工具的误报。这种误判在实战中极为常见,新手容易犯的三个典型错误:
- 过度依赖自动化工具:扫描结果需要人工验证
- 忽视基础服务探测:看到Web就直奔CMS漏洞
- 遗漏非常规端口:比如这次关键的3306端口
# 基础端口扫描示例(实际使用需根据情况调整参数) nmap -sV -p- 10.50.128.107 --open当Web端进展受阻时,转而对MySQL服务进行弱口令测试竟意外发现root/root的默认凭证。这个转折点教会我:渗透的本质是持续寻找最薄弱的环节。
2. 数据库操作的艺术与陷阱
使用HeidiSQL连接数据库后,发现joomla库中的用户表am2zu_users。直接修改管理员密码看似简单,但Joomla的密码加密机制让事情变得复杂。经过多次尝试,最终采用SQL插入新用户的方式:
INSERT INTO `am2zu_users` VALUES ('hacker','hacker','$2y$10$N9qo8uLOickgx2ZMRZoMy...',...,8);关键教训:
- Joomla使用bcrypt加密,直接修改需生成合法hash
- 用户组ID=8代表超级管理员权限
- 部分靶场环境可能禁用SQL文件写入,需准备备选方案
成功登录后台后,在模板编辑处写入PHP webshell时又遇阻碍——PHP 7.0的disable_functions禁用了system等危险函数。这时需要切换思路:
绕过disable_functions的三种方案对比
| 方法 | 成功率 | 复杂度 | 所需条件 |
|---|---|---|---|
| LD_PRELOAD劫持 | 高 | 中 | 允许上传.so文件 |
| PHP GC UAF | 中 | 高 | PHP 7.0-7.3版本 |
| 反序列化漏洞利用 | 低 | 高 | 存在可利用的类 |
最终选择LD_PRELOAD方案成功突破限制,上传的bypass_disablefunc.php让我们获得了完整的命令执行能力。
3. 内网渗透的认知升级
执行ipconfig发现双网卡配置(10.50.128.和192.168.93.),这个重要线索说明:
- 当前主机可能作反向代理
- 存在内网域环境需要横向移动
- 需要建立稳定隧道维持访问
内网代理配置的踩坑记录:
- 首次尝试FRP隧道因配置错误失败
- 改用reGeorg+Proxychains组合成功
- 忘记关闭防火墙规则导致连接中断
# 代理验证命令(测试通道是否畅通) proxychains curl http://192.168.93.10当通过代理扫描到192.168.93.10的445端口开放时,立即尝试了永恒之蓝漏洞利用却失败。后来发现是系统版本不匹配,改用SMB弱口令爆破成功:
testuser:Password123!4. 域环境突破的终极挑战
获取域成员权限后,使用BloodHound绘制出清晰的攻击路径。最关键的突破点是发现了域管理员曾登录过当前主机,通过内存抓取获得了域管凭证。
横向移动技术要点:
- Mimikatz需禁用AV实时监控
- Pass-the-Hash攻击对Windows Server 2012有效
- 注意清除日志避免触发告警
# 提取内存凭证的简化命令 Invoke-Mimikatz -Command '"sekurlsa::logonpasswords"'最终在域控的C:\Secret目录中找到flag文件时,那种层层剥茧后豁然开朗的体验,正是渗透测试最迷人的地方。整个过程没有炫酷的0day,靠的是对每个线索的耐心追踪和基础技术的灵活组合。