从WEB打点到内网域控Flag2、3、4、5
2023-5-23 08:5:9 Author: 李白你好(查看原文) 阅读量:20 收藏

宝子们现在只对常读和星标的公众号才展示大图推送,建议大家把李白你好设为星标”,否则可能就看不到了啦!

0x01 前言

本靶场环境李白安全团队Jerry搭建,并讲授给星球内部成员。星球会有不定时的技术直播课、送书活动和内部交流群,欢迎师傅们前来学习。靶场环境搭建模仿真实企业环境,也是攻防演练中出现的典型的场景值得学习!!!

接上文从WEB打点到内网域控Flag1【星球内部直播课WP】,下面是Flag2\3\4\5的解法。

0x02 Flag2

192.168.86.130 主机开放6379端口redis服务,尝试未授权访问

权限不够,无法写入公钥
尝试写计划任务也失败
尝试爆破ssh弱口令
Ssh连接成功
没有权限查看flag2,需要提权
CVE-2021-3156提权:
在/tmp目录上传提权文件
Make编译后运行即可获得root权限
查看flag2

0x03 Flag3

访问192.168.86.129
使用通达oa综合利用工具
成功连入webshell
查找到flag3
生成中转木马
上传木马至通达oa主机
运行后cs上线

0x04 Flag4

回到通达OA机器192.168.86.129 端口扫描发现3台主机
net user /do 发现存在域环境
Mimikatz抓取密码
抓到域管理员曾经登录的账号密码
扫描新的网段,定位域控ip
Win7OA机器开启中转监听
在target中使用psexec上线域控
域控上线成功
在桌面发现flag4
攻击线路如下

0x05 Flag5

在win7OA机器上挂一个socks代理,访192.168.52.33主机的80端口
发现是个门禁管理系统,web界面无从下手,前往百度搜索相关文档
发现使用手册,存在默认口令
1433直接连入mssql
数据库中发现flag5

0x06 攻击路线图

至此,该靶场的解法已结束,以下是攻击路线图。

0x06 往期精彩

从WEB打点到内网域控Flag1【星球内部直播课WP】

记一次基于 Django 的传销站点渗透


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwMzMwODg2Mw==&mid=2247498527&idx=1&sn=1333274f95dc165cdf392d9d336fb8ef&chksm=c09a884ff7ed0159ed4dcd7d15c8705fb36d0e1b823c8c856b78088ab85cfe2af14ab9f54bc7#rd
如有侵权请联系:admin#unsafe.sh