vulntarget-j

机器密码： windows server 2012：workstation/admin@20221123、administrator/nimda2toor@2102；cms账密：admin/admin123 windows server 2019：test/admin@221125；cms账密：admin/4n362pR4ExakFab 拓扑图：

信息收集

扫描存活主机和端口，发现开放了80、3389、5985、7001端口

访问80端口如下：

5985和7001端口访问都是报404、403

漏洞利用

这里根据报错可以判断出该网站是FastAdmin搭建的

有注册功能，我们可以尝试一下FastAdmin前台分片传输上传文件getshell，先在前台注册一个普通用户

登陆后在个人资料头像处抓包并上传图片

更改上传数据包，发现无法利用

通过上帝视角也能看到它关闭了分片传输

再尝试会员中心前台getshell，还是在上传修改头像处抓包后修改图片数据（满足图片头格式即可）发现还是无法利用

还有FastAdmin后台getshell，但是这里并不是默认的admin被修改了，扫目录也没啥发现

再来看看5985和7001端口，其中7001在扫目录时发现存在KindEditor服务

首先访问/kindeditor.js查看版本信息，得知其版本为3.5.5

搜一下相关漏洞发现存在文件上传和遍历目录漏洞，尝试访问一下路径是否存在有必要验证文件upload_json.*和 file_manager_json.*，前面扫目录可知应该是在/php下，发现如下路径可利用

/php/file_manager_json.php

因为这里没上传点传shell，于是尝试目录遍历，接着试一下列目录

/php/file_manager_json.php?path=/

再访问../发现可以成功读取

/php/file_manager_json.php?path=../

接着再进行读取发现../../被ban了，可通过.././../绕过

/php/file_manager_json.php?path=.././../

这里我们可以看到Fastadmin，通过访问目录/fastadmin/public/得到Fastadmin后台地址FNeSOgYGkp.php

/php/file_manager_json.php?path=.././../fastadmin/public/

然后尝试弱口令admin/admin123成功登录后台

于是可以开始尝试后台getshell

getshell1失败，利用需要用到超级管理员权限，打开菜单规则 > 菜单规则 (auth/rule) > 编辑，条件规则处写入

然后创建一个低权限管理员，登录访问后台首页，然而并未被执行

getshell2失败，后台 > 插件管理 > 如果有文件管理器可直接上传 shell（在线文件管理器要花钱，打扰了再见

https://github.com/WenchaoLin/Filex（GitHub上翻到一个但是装不上没法用

getshell3失败，后台 > 插件管理 > 如果有命令执行插件，打开命令执行插件 > 一键生成 API 文档 > 如图

点击生成命令行，然后点击立即执行显示不支持的命令参数

getshell4失败，后台 > 插件管理 > 在Fastadmin官网去下载一个example 插件压缩包，采用离线安装模式

打开下载的example插件压缩包，更改Example.php文件中启用插件的地方如下：

/**
    * 插件启用方法
    */
   public function enable()
   {
       file_put_contents('../public/1.php','<?php phpinfo();?>');
       Menu::enable('example');
   }

更改完成，离线上传安装，点击启用插件，会在根目录生成 1.php，然而改完插件就会无法添加

getshell5失败，还有个cve-2021-43117，但是他这后台也没有分类管理功能块

这把Fastadmin的洞都玩了一遍呀?最后通过上帝视角查看一下版本是1.3.3.20220121，这么新版本要掏day打吧~ ?完还不太舒服再加上元旦就摸了

后面问crow师傅要了wp得知getshell6方式，其实就是getshell3那个，利用file_put_contents把内容写入到文件中，安装成功在线命令的插件后发送以下数据包，但是还是不支持的命令参数呀?

POST /FNeSOgYGkp.php/command/command/action/execute HTTP/1.1
Host: 192.168.150.145
Content-Length: 106
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://test.test
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: sidebar_collapse=0; multiplenav=0; show_submenu=1; PHPSESSID=j98cses8ijabrq4b64a7ev5eup; think_var=zh-cn; uid=2; token=ce525498-a21d-45f1-a45b-e9d27d445131
Connection: close

commandtype=api&force=0&url=&output=api.php&template=&title=%3C%3Fphp+phpinfo()%3B%3F%3E&author=&language=

看了下这里的源码好像这个就是不行吧，不知道咋解决.jpg

这里假装成功了（我手工操作的?

再写入一句话，蚁剑成功连接

但是这里蚁剑有些命令不能执行，估计是有杀软阻止了

内网渗透

上传免杀的fscan扫一下内网，发现存在主机10.0.0.222，开放了80、135、445、8000、18000端口

访问8000端口如下：

接着扫目录得到/home路径，发现存在sscms服务，但是报错显示用户中心已被禁用

再来看看18000端口，访问报错403，扫目录得到/license.txt路径，发现存在fckeditor服务

目录拼接得到三个具有上传功能的目录如下：

/editor/filemanager/connectors/test.html
/editor/filemanager/connectors/uploadtest.html
/editor/filemanager/browser/default/browser.html

尝试上传冰蝎?发现上传失败

最后一个上传没反应应该也是不行

接着使用工具Webshell_Generate生成asp的免杀webshell

上传时通过burp抓包查看

再来上传一下其他正常的文件试试，例如txt，发现可以成功上传

接着通过%00进行截断上传，第一次上传后是20230104085427.asp_txt

然后第二次就可以成功上传asp文件

最后蚁剑成功连接

但是这里蚁剑是无法执行命令

于是再利用工具Webshell_Generate生成一个冰蝎的免杀webshell，通过%00进行截断上传，最后冰蝎成功连接

这里就可以成功执行命令，可以得知打了补丁KB4464455

CVE-2020-0787本地提权

直接GitHub下载BitsArbitraryFileMoveExploit.exe，不过冰蝎和蚁剑都不能直接上传，就再通过%00进行截断上传，但是运行时报错了，应该是有杀软

查看进程发现开着defender

后面查看官方wp知道可以通过cs免杀wdf上线cs，在桌面发现rdp账密test admin@221125，然后用cs自带的代理成功rdp，最终运行BitsArbitraryFileMoveExploit.exe提权