Vulstack红队评估(一)

外网机(Win7)含内外网网卡。

外网IP:192.168.31.33

首先探测开放端口:

goby:

1623048392951

开了mysql和web,445和3389是之前测试的时候开的不管。

就先从web开始

直接访问有个phpstudy的探针。应该是存在phpmyadmin.

先扫一下目录:

扫出来yxcms和phpmyadmin以及beifen.rar

beifen.rar下载下来就是yxcms的源码。

先去yxcms里面看一下。

果然是靶机:

1623048241917

公告信息处。直接给出后台等着我们getshell了。

vulstack主要是内网部分靶机所以web部分比较简单。

1623048341488

接下来就很简单了,模板管理文件里面直接添加shell.php

这里用哥斯拉的shell.

接下来需要找到上传的路径。

1623048521641

去翻翻备份文件:

1623048588636

最后在备份文件的这个目录下找到了模板管理的其他文件。

直接访问web上的这个目录下的shell.

http://192.168.31.33/yxcms/protected/apps/default/view/default/shell.php

哥斯拉连上后设置下编码为GBK。

1623048614725

接下来需要信息收集一下弄清楚内网IP

1623048655576

内网IP192.168.52.243

可以确定有域环境了。

然后准备上传frp进行内网穿透。

内网IP:192.168.52.143

接下来上一个CS的马,使用reverse的监听生成一个exe。

使用哥斯拉上传后再命令行执行

1623048895846

试试直接getsystem提权:

1623049106134

可以直接提到了SYSTEM。

这下先用mimikatz抓下密码:

1623049299723

端口扫描。没扫出来IP。使用其他命令收集下内网存在的IP:

shell ipconfig /all

1623050502092

DNS服务器极有可能是域控地址。

1623052032094

所以总结下内网环境还有192.168.52.88和192.168.52.138.

用cs端口扫描把88扫出来了。138没扫出来。

先跳一下88:

psexec直接一把梭哈。后面的就不搞了。

参考url: