春秋云境-Time

Created2025-07-04|Updated2025-07-04|Writeup

|Word Count:423|Reading Time:1mins|Post Views:|Comments:

Time

fscan扫一遍

img

有7687端口，这是neo4j的端口。这里存在CVE-2021-34371未授权RCE，我们可以以此反弹shell

img

img

拿到flag1和提示kerberos的认证过程

img

上传fscan扫一下，扫出来还有三台主机

img

搭建frp，访问搭建了web服务的那台主机

img

img

img

这里可以用sqlmap一把梭，找到第二个flag

img

读取数据库中的用户表，总共有500个用户，把这些用户的名称都dump下来做成一个字典

img

import csv
input_csv = 'oa_users.csv'
output_txt = 'usernames.txt'
with open(input_csv, mode='r', encoding='utf-8') as csvfile:
    reader = csv.DictReader(csvfile)
    with open(output_txt, mode='w', encoding='utf-8') as txtfile:
        for row in reader:
            username = row['username'].replace(' ', '').lower()
            txtfile.write(username + '\n')
print(f"所有用户名已成功转换并保存到 {output_txt}")

枚举未设置预身份验证的账号，得到该用户的login session key。这里找到了这样的用户。

img

img

选一个对其进行爆破，得到密码strawberry

img

刚刚扫出来的另外三台主机还有172.22.6.25没用到，用上面爆破得到的账号密码远程桌面登陆

img

看了大佬的wp说是这里能猜出开了自动登录，因此可以抓取密码，得到用户yuxuan的密码是Yuxuan7QbrgZ3L

img

登录yuxuan，通过bloodhound可以分析得这里的用户yuxuan是其他域迁移过来的，存在sid滥用，因此保留了域管理员的访问权限。

上传mimikatz获取管理员账户哈希

img

横向移动获取另外两台主机上的flag即可

img

img

Author: St4rr

Link: https://www.blog.st4rr.top/posts/9aa9ec9/

Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.

Writeup 渗透春秋云境

Related Articles

春秋云境-Initial

春秋云境-Tsclient

春秋云境-漏洞靶标

0xGame2023 Writeup

0xGame2024 Misc Official Writeup

2024暑假偷偷练习CTF

Comment

Loading the Database