春秋云镜靶场Initial_WP

admin 2025年2月9日01:05:36评论3 views字数 1516阅读5分3秒阅读模式
春秋云镜靶场Initial_WP

此靶机只需要交一个flag,而把这个flag分成3段,分别位于每个靶机的用户下.

春秋云镜靶场Initial_WP
FLAG1:
春秋云镜靶场Initial_WP

访问服务可以看见映入眼帘的ThinkPhP框架

春秋云镜靶场Initial_WP

直接掏出我们的Thinkphp一把梭工具,造!

春秋云镜靶场Initial_WP春秋云镜靶场Initial_WP成功连上webshell后进行简单信息收集,发现mysql数据库root是无需密码登录

春秋云镜靶场Initial_WP但是连接上去发现无法进行任何操作但是就是成功连接(很奇怪没搞懂)

#查询suidFind / -perm -u=s-type=f 2>/dev/null#查询sudoSudo -l

然后呢搜了一下suid和sudo发现了一个可以将当前www-data提取到root的点:

春秋云镜靶场Initial_WP
春秋云镜靶场Initial_WP

并结合https://gtfobins.github.io/

春秋云镜靶场Initial_WP

成功提权,并反弹root权限到公网主机

春秋云镜靶场Initial_WP
春秋云镜靶场Initial_WP
春秋云镜靶场Initial_WP

获取第一部分flag: flag{60b53231-,题目又提示下一部分在网络中,那说明内网存在其他机器

开始扫描内网准备,通过python3进行一波shell的加固让他ctrl+c时不会掉线

$ python3 -c'import pty; pty.spawn("/bin/bash")'//启用python交互式# 把它丢到后台挂起$ ctrl + z   # 重置stty,也就意味着你看不到输入的内容$ stty raw -echo  # 把后台挂起的程序调回前台$ fg   # 接下来设置环境变量,根据第一步得到的环境变量来设置$ export SHELL=bash   $ export TERM=xterm-256color
春秋云镜靶场Initial_WP
春秋云镜靶场Initial_WP
春秋云镜靶场Initial_WP

开始想通过编写了一些sh脚本探测内网,结果发现无法探测,后面老实了fscan一把唆:

先通过python3启动http进行fscan的上传(原本想直接github拉取,多简单)

春秋云镜靶场Initial_WP

成功上传赋予权限一把梭开始:

春秋云镜靶场Initial_WP
春秋云镜靶场Initial_WP

还得是fscan舒服。

春秋云镜靶场Initial_WP
Flag2:
春秋云镜靶场Initial_WP

已经确定内网的机器

2是DC域控

21是域下机器,存在ms17-010

18是oa

15是当前跳板

开始搭建frp隧道将攻击机带入内网漫游

客户端配置:

serverAddr ="**********"serverPort = 7000[[proxies]]name ="socks5"type ="tcp"remotePort =30333[proxies.plugin]type ="socks5"
春秋云镜靶场Initial_WP

直接连接socks

访问18oa,发现是信呼oa且存在弱口令:admin/admin123

春秋云镜靶场Initial_WP

百度发现getshell,然后尝试利用

春秋云镜靶场Initial_WP
春秋云镜靶场Initial_WP
春秋云镜靶场Initial_WP

大概原理就是你上传的php不在白名单,就会重命名后缀为.uptemp,但是如果访问task并带入上传文件的id,就会将源文件后缀还原 从而上传成功。

春秋云镜靶场Initial_WP
春秋云镜靶场Initial_WP

读取到第二部分flag:2ce3-4813-87d4-

然后提示又叫我们去打打域控,然后回头看看发现就很有可能是ms17-010那个机器是打域控的跳板

春秋云镜靶场Initial_WP
Flag3:
春秋云镜靶场Initial_WP

直接msfconse一把梭ms17-010

春秋云镜靶场Initial_WP通过DCSync(其实就是当前服务器账户拥有活动目录的复制和读取权限,并通向域控发送同步活动目录让域控认为你也是域控机器 ,从而向你同步数据)进行dumphash,成功获取域管hash,探测时也发现DC是开启445端口和139端口的,直接 psexec后着smbexec横向到DC上

春秋云镜靶场Initial_WP

拿到最后一个flag:-e8f88d0d43d6}

春秋云镜靶场Initial_WP
春秋云镜靶场Initial_WP
总结:
春秋云镜靶场Initial_WP
春秋云镜靶场Initial_WP

靶机基本上都是一把梭,唯一可能花时间的就是加固shell和frp流量的设置,算是比较简单的靶机。

春秋云镜靶场Initial_WP
春秋云镜靶场Initial_WP
注:ZeroPointZero安全团队有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的

原文始发于微信公众号(ZeroPointZero安全团队):春秋云镜靶场Initial_WP

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月9日01:05:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   春秋云镜靶场Initial_WPhttps://cn-sec.com/archives/3715380.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息