渗透
文章平均质量分 86
普通网友
这个作者很懒,什么都没留下…
展开
-
春秋云境Privilege-WP【一遍过】
然后切换到C目录,然后创一个test文件夹切换过去(不然后面会没权限),把本地的raj.dsh上传上去(这个文件要放在运行kali的那个目录下),接着用diskshadow执行raj.dsh中的命令。有备份以及还原文件或目录的权限,可以卷影拷贝然后读sam(SAM是安全账户管理器数据库,包含了本地用户及用户组,包括它们的口令及其他属性,位于注册表的HKLM\SAM下面)internal-secret里有一个文本,里面有很多账号信息,从里面找到XR-0923的。但是会报错(猕猴桃版本不对,多下几个试试)原创 2023-10-17 19:47:31 · 575 阅读 · 0 评论 -
春秋云境2022网鼎杯半决赛-WP【一遍过】
注意,这里的certipy不是出现命令不存在kali让你下载的那个,这个是个打CVE-2022–26923的工具:https://github.com/ly4k/Certipy/打开http://172.22.15.24/phpmyadmin用账号和密码登了一下,发现有个表有一堆域账户。(脚本链接:https://github.com/AlmondOffSec/PassTheCert/)wordpress,打开http://39.99.137.31/wp-admin。原来是**校园网,后来换热点就可以了。原创 2023-10-17 18:49:17 · 551 阅读 · 1 评论 -
春秋云境Flarum-WP【一遍过】
一种类似于yso但是针对php的反序列化利用工具,这里为了可控文件头,我们使用phpggc来生成tar格式包,里面内容就是反弹shell的命令。写个马好上蚁剑(/var/www/html/public/assets目录下才有权限,后面的文件上传也是一样)接着访问一下主页39.xx.xx.xx/assets/forum.css确保css样式已经成功修改。连接蚁剑http://39.xx.xx.xx/assets/1.php。申请票据,无密码连接(前面不知道为什么报错了,所以这里利用失败了)原创 2023-10-17 12:57:49 · 489 阅读 · 2 评论 -
春秋云境Spoofing-WP【一遍过】
攻击链:用petitpotam触发存在漏洞且开启了webclient服务的目标,利用petitpotam触发目标访问我们的http中继服务,目标将会使用webclient携带ntlm认证访问我们的中继,并且将其认证中继到ldap,获取到机器账户的身份,以机器账户的身份修改其自身的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性,允许我们的恶意机器账户模拟以及认证访问到目标机器 (RBCD)这里的hash是前面抓到的XR-DESKTOP用户的hash。原创 2023-10-16 17:15:15 · 421 阅读 · 1 评论 -
春秋云境Delivery-WP【一遍过】
设置日志路径为网站根目录(这里因为知道使用了phpstudy所以改的默认网站根目录),并把文件格式修改为相应的后缀名。在vps上开放1099端口,然后用yso起一下服务(base64中的端口为vps监听的端口)在给chenglei添加DCSync权限后,用secretsdump.py获取管理员hash。根据题目提示打NFS,应该就是172.22.13.57中CentOS开的服务,试一试。利用ftp,因为172.22.13.14没开ftp,所以要用python起一个ftp。原创 2023-10-16 15:34:01 · 284 阅读 · 1 评论 -
春秋云境Delegation-WP【一遍过】
这个靶场打了出乎意料的久。1.外围打点总是有问题,一直不回显ok,最后靠复制大佬的命令才能正常弹shell;2.fscan在蚁剑的shell里不显示结果(frp也不显示结果,但是是运行了的),还好可以弹shell到vps上,vps上可以正常显示结果;3.植入木马部分,powershell修改注册表是无效的,cmd才有用;4.各种上传的工具需要用管理员权限打开才能正常使用,SharpHound需要用猕猴桃弹出的域用户终端才能正常使用。原创 2023-10-14 19:41:30 · 308 阅读 · 1 评论 -
春秋云境Exchange-WP【一遍过】
BloodHound 分析(我的sharphound会报错没有连接ldap,不知道为什么),发现exchange这台机器上的域用户有writeDacl权限,也就是zhangtong,因此可以写 DCSync。burpsuit抓包,改为/user/list?search=,再添加exp,发送。导出后做成字典passwd.txt,爆破得到密码(速度惊人得快),找到flag03。用刚改的密码登录之前的outlook网页,翻邮件知道密码是手机号。官方插件(右上角)-> 华夏ERP,找找漏洞,可以打jdbc。原创 2023-10-13 16:09:10 · 558 阅读 · 1 评论 -
春秋云境Certify-WP【一遍过】
这里有几个用户名被修改成*了 因为都是些个人的账号密码,再联系前面扫到的三个3389端口,尝试爆破172.22.9.26(域控和CA域不大可能,172.22.9.26这个域内机器是最有可能的)开代理,先看172.22.9.47 文件服务器,刚好也开了445端口(TCP端口),直接可以连接。扫描可以看到一个solr,solr一般会有log4j漏洞,看到有log4j组件。再次远程连接172.22.9.26,成功,但是没有管理员权限,所以没什么用处。导出数据,编为字典user.txt和pass.txt,爆破。原创 2023-10-12 21:31:38 · 417 阅读 · 0 评论 -
春秋云境Brute4Road-WP【一遍过】
ps:为方便操作,可以用msfvenom生成正向shell,上传到靶机运行,再利用msfconsole获得shell,这样就能在kali上操作了。首先通过Rubeus申请机器账户MSSQLSERVER的TGT,执行后,将得到 Base64 加密后的 TGT 票据。在/home/redis/flag目录下发现了flag01,但是没有cat的权限。发现Redis未授权和ftp匿名账号登陆,这里用Redis主从rce的方式打(正常情况下:输入r后依次输入vps的ip和端口2,端口2必须是vps上开放的。原创 2023-10-12 13:48:19 · 336 阅读 · 0 评论 -
春秋云境Time-WP【一遍过】
重置了很多次靶机,所以靶机ip变化请忽略。原创 2023-10-11 19:59:07 · 421 阅读 · 0 评论 -
春秋云境Tsclient-WP【一遍过】
quser查看计算机上的用户会话信息(quser命令在windows server和windows的某些专业版才适用)上传mimikatz,用shift后门启动管理员权限的cmd,运行mimikatz,执行命令。服务器管理器-->管理-->添加角色1 和功能-->功能-->勾选.net3.5进行安装。里面有一个敏感文件,查看后获取一个凭证和一个提示(镜像劫持)运行完会跳出一个命令框,直接通过命令行可以访问域控的文件。查看权限,当前用户是普通用户,没有管理员权限。或者用下面的命令添加用户test,远程登录。原创 2023-10-05 11:16:24 · 287 阅读 · 0 评论 -
春秋云境Initial-WP(附带详细代理过程)
用Thinkphpgui查找漏洞(一开始因为工具版本问题,一直不能getshell,心疼我的小砂砾),得到木马网址和密码。flag02在C://Users/Administrator/flag/flag02.txt中。fscan扫描172.22.1.0/24,结果默认保存在同目录下的result.txt中。利用frp和proxifier代理,可以访问到172.22.1.18(frp代理过程。用crackmapexec去进行hash传递攻击,使得我们可以访问到DC上的文件。原创 2023-10-01 13:08:34 · 482 阅读 · 0 评论 -
frp代理搭建全过程
需要的工具:1.frp(2.一个公网服务器(腾讯云、阿里云……)3.服务器连接工具(Finalshell)原创 2023-10-01 13:06:13 · 514 阅读 · 0 评论