春秋云镜靶场Initial_WP

原创 t3 ZeroPointZero安全团队 2025-02-08 06:34

此靶机只需要交一个
flag
，而把这个
flag
分成
3
段，分别位于每个靶机的用户下.

FLAG1：

访问服务可以看见映入眼帘的ThinkPhP框架

直接掏出我们的Thinkphp一把梭工具，造！

成功连上webshell后进行简单信息收集，发现mysql数据库root是无需密码登录

但是连接上去发现无法进行任何操作但是就是成功连接（很奇怪没搞懂）

#查询suid
Find / -perm -u=s
-type=f 2>/dev/null
 
#查询sudo
Sudo -l

然后呢搜了一下suid和sudo发现了一个可以将当前www-data提取到root的点：

并结合https://gtfobins.github.io/

成功提权，并反弹root权限到公网主机

获取第一部分flag： flag{60b53231-，题目又提示下一部分在网络中，那说明内网存在其他机器

开始扫描内网准备，通过python3进行一波shell的加固让他ctrl+c时不会掉线

$ python3 -c 'import pty; pty.spawn("/bin/bash")'  
//启用python交互式
# 把它丢到后台挂起
$ ctrl + z   
# 重置stty，也就意味着你看不到输入的内容
$ stty raw -echo  
# 把后台挂起的程序调回前台
$ fg   
# 接下来设置环境变量，根据第一步得到的环境变量来设置
$ export SHELL=bash   
$ export TERM=xterm-256color

开始想通过编写了一些sh脚本探测内网，结果发现无法探测，后面老实了fscan一把唆：

先通过python3启动http进行fscan的上传（原本想直接github拉取，多简单）

成功上传赋予权限一把梭开始：

还得是fscan舒服。

Flag2：

已经确定内网的机器

2是DC域控

21
是域下机器，存在
ms17-010

18是oa

15是当前跳板

开始搭建frp隧道将攻击机带入内网漫游

客户端配置：

serverAddr ="**********"
serverPort = 7000
 
[[proxies]]
name =
"socks5"
type =
"tcp"
remotePort =
30333
[proxies.plugin]
type =
"socks5"

直接连接socks

访问18oa，发现是信呼oa且存在弱口令：admin/admin123

百度发现getshell，然后尝试利用

大概原理就是你上传的php不在白名单，就会重命名后缀为.uptemp，但是如果访问task并带入上传文件的id，就会将源文件后缀还原 从而上传成功。

读取到第二部分flag：2ce3-4813-87d4-

然后提示又叫我们去打打域控，然后回头看看发现就很有可能是ms17-010那个机器是打域控的跳板

Flag3：

直接msfconse一把梭ms17-010

通过DCSync（其实就是当前服务器账户拥有活动目录的复制和读取权限，并通向域控发送同步活动目录让域控认为你也是域控机器 ，从而向你同步数据）进行dumphash，成功获取域管hash，探测时也发现DC是开启445端口和139端口的，直接 psexec后着smbexec横向到DC上

拿到最后一个flag：-e8f88d0d43d6}

总结：

靶机基本上都是一把梭，唯一可能花时间的就是加固shell和frp流量的设置，算是比较简单的靶机。

注：ZeroPointZero安全团队有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的