【安鸾靶场】cmseasy&内网渗透 (500分)

---

题目

一、渗透开始

上burp后没有报漏洞：

/admin存在后台：

爆破一下：
admin
admin123

后台执行rce漏洞

POC：
1111111111";}

触发漏洞：

可以看到禁用了很多函数：但是没有禁用关键函数

pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,

先写一个代码执行的php：这里可能触发了内部的waf

写入shell：

注意这里不能直接连接，我们需要找到路径才行

扫一下目录：

找了半天在：http://106.15.50.112:8021/config/tag/category_27.php

拿到shell：

第一部分：flag{fc64319e5227aa1d

拿第二部分：

上传个fscan：

直接扫网段：

感觉不对劲有点多看网段是20段：重新运行一下：
应该是192.168.112.3这台

这个112.1应该是内网的靶场就不去动他了：直接看
这个应该是redis的未授权访问

内网横向

搭建frp内网穿透，简单来说将我们已经拿到权限这台Linux流量发送到公网的vps上，我们使用代理工具连接就能访问Linux的内网了。

frp工具地址：https://github.com/fatedier/frp

配置frps.ini

[common]
bind_addr = 0.0.0.0
bind_port = 7000
./frps -c frps.ini
1
2
3
4

[common]
server_addr = xx.xx.xx.xx #/PS
server_port = 7000 #与/PS服务器开放端口一致
[http_proxy]
type = tcp #类型
remote_port = 7777 #通过socks5连接到/PS服务器端口进行数据传输
plugin = socks5



这里已经可以访问内网了：

kali怎么连接：kali直接用代理

在kali中需要proxychains4加上命令才能使用代理：
使用msf的redis未授权：
proxychains4 msfconsole
这里使用命令执行模块：info命令执行成功

这里不能使用反弹shell方式，因为有可能192.168.112.3只有内网无外网环境：这里只能使用写入私钥方式
kali生成私钥

这里失败了

msf查看也是写入了但是连不起：

等后面靶场重置，总体思路是这样的但是有点小问题，这个redis拿shell其实挺麻烦的，之前打靶场时也遇到过写入任务计划但没成功，我重置多次后成功了，这个运行不太好，也可能是frp的配置有问题。