春秋云境Initial通关

WriteUp 2个月前 admin
146 0 0
春秋云境Initial通关

前言

春秋云境Initial通关


Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。

春秋云境Initial通关

春秋云境Initial通关
春秋云境Initial通关

步骤

春秋云境Initial通关


入口处是一个电源管理系统,指纹识别可以得出是thinkphp框架,直接用工具扫描是否存在thinkphp漏洞。

春秋云境Initial通关


确定有漏洞后就可以直接进行RCE

春秋云境Initial通关


getshell后拿的权限是www-data权限,这里可以使用sudo提权来读取flag1:(sudo mysql -e '! cat /root/flag/flag01.txt')

春秋云境Initial通关

春秋云境Initial通关


拿下第一个flag后用frp带代理扫描内网机器,扫描结果如下:

172.22.1.2(域控)172.22.1.15(边界机)172.22.1.18(信呼协同办公系统)172.22.1.21(永恒之蓝)


春秋云境Initial通关


首先使用永恒之蓝拿下172.22.1.21这台机器,这里可以使用msfms17-010模块进行攻击。

春秋云境Initial通关

春秋云境Initial通关


但是在这台机器上并没有拿到第二个flag,根据提示可以利用DCSync进行下一步操作

春秋云境Initial通关


使用kiwi模块读取域内用户hash后可以利用crackmapexec脚本获取域控权限并读取flag

春秋云境Initial通关

这里读取到的是flag3,看来flag2172.22.1.18这台机器上。

春秋云境Initial通关

针对172.22.1.18这里提供三个方法获取权限,由于172.22.1.18也在域内,第一个方法可以直接利用上面的域管hash来读取flag

春秋云境Initial通关

方法二是直接利用信呼OA漏洞进行文件上传来getshell

春秋云境Initial通关

网上有相关脚本,可以直接利用

春秋云境Initial通关


春秋云境Initial通关

方法三是利用172.22.1.18上开放的phpmyadmin进行写文件(账号密码root:root),这里不再进行演示。

春秋云境Initial通关

春秋云境Initial通关

春秋云境Initial通关

总结

春秋云境Initial通关


总结一下该靶场的相关流程:

首先使用thinkphp漏洞拿下边界机(flag1)→做代理利用ms17-010拿下域内机器→DCSync拿下域管理员权限(flag3)→使用域管理员权限读取flag2

春秋云境Initial通关


春秋云境Initial通关



春秋云境Initial通关

END

春秋云境Initial通关

• 往期精选

春秋云境Initial通关
春秋云境Initial通关

windows提权总结

一次SSH爆破攻击haiduc工具的应急响应

记一次艰难的SQL注入(过安全狗)

记一次溯源

春秋云境Initial通关

下方点击关注发现更多精彩


原文始发于微信公众号(银河护卫队super):春秋云境Initial通关

版权声明:admin 发表于 2023年4月14日 上午11:15。
转载请注明:春秋云境Initial通关 | CTF导航

相关文章

暂无评论

暂无评论...