线下初级工控比赛

现场通过连接openvpn，第一层通过门户打进去，3389登陆。寻找flag,修改桌面壁纸。
进去门户之后，第一跳找到第二层目标，使用VNC连接，寻找flag，修改桌面壁纸。
进去第二次之后，第二跳找到第三层目标，使用VNC连接，然后使用C/S端进行工控设置修改。

第一层打自己的机器和另一台其他队伍的机器。自己是为了拿到flag，别的机器，是为了在自己无法进去之后，使用别人目标代理出第二层地址，直接攻击第二层。

物理机连接openvpn，虚拟机net，这样虚拟机的流量都通过物理机出去，可以访问目标。
缺点：只能访问，无法直接回连，只能通过物理机进行中转，这里在物理机进行了cs服务器和使用frp进行msf中转。

这里使用某云的服务器，使用openvpn进行连接，ew进行正向连接

yum install openvpn
openvpn  --config server.conf  

连接成功会，会多出一块虚拟网卡tap0
然后使用ew进行正向sock5代理

ew -s ssocksd -l port

本地进行连接win下proxifier。linux下配置 proxychains 进行sock5

这里使用thinkphp-rce，上线了其余队伍的门户机器。

自己的目标机器无法进行command执行，只能写进去phpinfo。一句话无法写进去。powershell无法上线，执行powershell目标直接卡死。----目标未发现waf等设备，未查明原因。

进行手动测试+rce测试。发现目标执行命令卡端。猜想：目标机器自己问题。
使用免杀php进行上传。发现无法上传，进行函数fuzz，上传一句话，无法连接。
进行powershell上线，rce直接卡死。未果。
最后使用exe上传，执行，cs上线。------至此，第一层拿下

最后在回收站找到的。

直接利用cs插件扫描第二层存活，发现10台，使用ms17-010进行扫描，发现存在4-5台。正好存在自己的目标机器。直接动手。
这里使用msf进行攻击，提前准备的环境没有用上，又开始重新配置环境，有点耗时。
cs分配一个回话给msf，使用msf直接永恒之蓝拿到shell。

1.1VNC爆破问题，高版本不允许爆破，尝试三次会禁止几分钟。
1.2VNC密码读取问题，高版本注册表没有保存，未发现。
1.3VNC直接修改密码，本地测试通过。

reg add "hkcucontrol paneldesktop" /v wallpaper /d "桌面壁纸绝对路径" /f 
RunDll32.exe USER32.DLL,UpdatePerUserSystemParameters

直接修改注册表，未生效，百度文章千篇一律，很是着急，后来知道需要更新注册表缓存。

最后使用msf screenshot 去截图

目标打开了很多文件，无法截图到桌面

[Shell]
Command=2
IconFile=%SystemRoot%system32SHELL32.dll,34
[Taskbar]
Command=ToggleDesktop

网上都是这个方法，保存为scf文件不过本地测试发现有个缺点，只能双击，未发现如何cmd运行。没有桌面的情况放弃。

Dim shell
Set shell = CreateObject("Shell.Application")
shell.ToggleDesktop

另一种方法调用ToggleDesktop 保存vbs文件可以cmd运行，可行。

flag是一个高位.txt,拿到了flag也换了图片，和3389密码一样。

第二次代理出来，csmsf上线进行主机发现，存活20多台，一队伍2台，通过第二层网卡只能确定一台。
没有什么亮点。VNC弱密码。
第三层只有vnc，没有80 和常见的系统漏洞，只能爆破。因为无法爆破。

设备操作。
在第三层存在一个c/s客户端，可以进行操作。
报文重放都不需要。

1.低版本可以通过注册表进行查看。
2.解密VNC密码
3.msf存在一个vnc后门模块，也可以进行尝试

payload :windwos/vncinject/reverse_tcp 
对方上线可以通过VNC访问。

vnc参考链接：
https://www.youtube.com/watch?v=y6-_7FXBcpY
https://www.raymond.cc/blog/crack-or-decrypt-vnc-server-encrypted-password/

1.通过一个openvpn，多人访问。
2.cs/msf搭建和中转，多层代理。
3.注册表进行更改桌面
4.cmd进行桌面显示。

比较简单
1.thinkphp-rce进第一层
2.ms17-010进第二层
3.vnc爆破+社工
4.设备存在CS客户端