云尘靶场 --铁三域控

签到1-eval

云尘靶场 --铁三域控_第1张图片

ls

云尘靶场 --铁三域控_第2张图片

云尘靶场 --铁三域控_第3张图片 云尘靶场 --铁三域控_第4张图片

System

云尘靶场 --铁三域控_第5张图片

 云尘靶场 --铁三域控_第6张图片

云尘靶场 --铁三域控_第7张图片 Assert云尘靶场 --铁三域控_第8张图片

云尘靶场 --铁三域控_第9张图片 云尘靶场 --铁三域控_第10张图片

云尘靶场 --铁三域控_第11张图片

铁三域控

域就像是我们一个机房,老师的电脑控制很多很多电脑,这个机房就像一个域,老师是管理员身份,可以控制所有学生的电脑

下文的141就像老师,192.168.60.100就像学生的电脑

123

用open连接

云尘靶场 --铁三域控_第12张图片

用fscan扫

云尘靶场 --铁三域控_第13张图片

发现存活2台机子 123,141

后面很明显提示141机子有永恒之蓝

那先来复现一下看看

云曦暑期学习第六周——kali-CSDN博客

云尘靶场 --铁三域控_第14张图片

但是发现无法利用永恒之蓝 ,只能支持64位的。但是这是32位的win7

云尘靶场 --铁三域控_第15张图片

没成功,试下别的机子

172.25.0.123:80云尘靶场 --铁三域控_第16张图片

上网搜了一下织梦,有漏洞       

先用dirsearch扫一下云尘靶场 --铁三域控_第17张图片

把返回值为200的都看了一下,/sql感觉可以利用云尘靶场 --铁三域控_第18张图片

云尘靶场 --铁三域控_第19张图片

用sqlmap跑一下

sqlmap.py -u http://172.25.0.123/sql/?id=2 --dbs

云尘靶场 --铁三域控_第20张图片

sqlmap.py -u http://172.25.0.123/sql/?id=2 -D dedecmsv57utf8sp1 --tabl
es

 云尘靶场 --铁三域控_第21张图片

sqlmap.py -u http://172.25.0.123/sql/?id=2 -D dedecmsv57utf8sp1 -T flag  --dump

 得到flag2云尘靶场 --铁三域控_第22张图片

 flag1确实是不知道怎么打了

可以找到这个cms的后台管理登录地址/dede/login.php云尘靶场 --铁三域控_第23张图片

弱口令admin/admin失败了

当然用bp爆破

云尘靶场 --铁三域控_第24张图片

登进去咯

flag1小隐秘

云尘靶场 --铁三域控_第25张图片 在附件管理的地方发现可以上传文件,但是这里不需要上马,在文件式管理器里面可以看到文件云尘靶场 --铁三域控_第26张图片

根目录中看到flag

云尘靶场 --铁三域控_第27张图片 直接点开咯,有flag3了

写个一句话木马,没用哥斯拉,直接把1.php文件修改了

云尘靶场 --铁三域控_第28张图片

看看有没有上传成功

云尘靶场 --铁三域控_第29张图片

ifconfig

云尘靶场 --铁三域控_第30张图片

发现只有两个内网,所以123到这就结束了

云尘靶场 --铁三域控_第31张图片

141

然后然后!!!原来是在爆123这台机子的时候有admin这个表云尘靶场 --铁三域控_第32张图片

sqlmap.py -u http://172.25.0.123/sql/?id=2 -D dedecmsv57utf8sp1 -T topsec_admin --dump

 云尘靶场 --铁三域控_第33张图片

远程连接一下 云尘靶场 --铁三域控_第34张图片

 登进去之后看到flag4

云尘靶场 --铁三域控_第35张图片

ipconfig 看到新的域云尘靶场 --铁三域控_第36张图片 

privilege::debug
sekurlsa::logonpasswords full

看了wp也没得到解密后的password,不知道怎么解

云尘靶场 --铁三域控_第37张图片

 使用别人得到的

administrator

TopSec_2017

使用fscan扫一下云尘靶场 --铁三域控_第38张图片

远程桌面连接

192.168.60.100

找到flag5

云尘靶场 --铁三域控_第39张图片

你可能感兴趣的:(安全)