声明:本文只做技术探讨并且全部在本地靶场,并且本人不会提供各种漏洞利用工具等。未经授权请勿利用本文的技术资料对任何计算机系统进行入侵操作,造成的直接或间接后果和损失,均由使用者本人负责,如不同意请关闭本文
靶场拓扑:
老规矩,上来先扫端口:
80端口是空的,看下81端口:
emmm。。。。极致cms,查了下,发现只有一个后台洞,那就应该是弱口令了,后台地址/admin.php/Login/index.html,直接弱口令admin,admin123进入后台,直接f12将插件下载地址修改为你的php一句话打包的web托管地址:
蚁剑直接连:
蚁剑执行命令发现回复是ret=127:
直接bypass disable_function(我记得去年还是前年,这个插件bypass bt是不好使的,我也没看为啥好使了,有时间再说吧):
弹出来一个新的可执行命令的虚拟终端:
话不多说,msf生成个马子,先弹个meterpreter再说:
提个权先,session创建失败,但是用户已经添加上了,直接ssh登上去,还顺手发现了一个flag:
root权限再执行一下马子,再弹个root权限的meterpreter:
加个路由,瞅一眼路由信息(作为一个懒批我喜欢自动添加):
msf自带的那些扫描的太慢了,老规矩,fscan轮一波:
如图,可以看到10.0.20.66有个禅道:
将1.php(我用蚁剑死活连不上,换成哥斯拉好使了,上网查了下,好像是nodejs的原因,有时间debug一下蚁剑然后改一下)丢到第一台linux机子上,py起个web服务托管:
base64对托管的链接编个码(http要变成大写的HTTP要不不好使昂)后直接admin/admin123登录后台后访问:
欸,靠谱,哥斯拉连下瞅瞅:
哥斯拉命令执行tasklist /svc然后丢到我自己写的小工具里面看看有啥杀软:
呀嘿,火绒,我最喜欢火绒了,我这一堆专门搞火绒的嘿嘿嘿,弄个免杀的msf马子用哥斯拉丢上去:
第一台linux机子走ssh端口转发到我们的攻击机上(这第二个不出网,但是只是没有公网,所以直接用第一台做跳板机做个端口转发上线个msf就ok):
话不多说,直接提权,win32k处理一下丢上去感受一下:
欸,成功了,直接重新执行一下那个处理完的马子(正常应该用execute的,但是作为一个懒比我直接用的shell,反正好使就行):
看一下我们的session(别问我为啥多了几个,因为我为了写文章敲多了,这都不是重点,system下来了,看图):
meterpreter直接读个密码(注册表自己改昂,我就不截图了):
administrator用户的570a9a65db8fba761c1008a51d4c95ab解出来是Admin@123(别问我哪解的,我口算的),看下域控的地址:
不打了,域控密码和地址都下来了,就这样吧俺的win攻击机正在更新,添加点新工具
,嘿嘿嘿
原文始发于微信公众号(天幕安全团队):vulntarget-b 靶场记录
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论