推荐工具:Yakit
线上
php_online
计划任务需要去反复的尝试
提权+软连接
从nobody提权到www-data
为了避免还没有执行任务就删掉了,所以加上sleep函数。
GoldenHornKing
Python的内存马 SSTI
admin_Test
目录扫描发现了未授权
爆破跑黑名单
以下是没有过滤的字符
SUID读flag
线下
企业 场景2
能上网
VPS 阿里云
Vshell Spark VPS
Java
入口
官网
登录注册,500
扫目录 得到 /api/
Vshell
IIS Admin
flask服务,通过curl命令(win10以上自带)
春秋云境
frp
有账号密码直接dump hash
LogController中存在rce执行
联合认证
SMBexec.py 横向 域账号
SYSTEM权限
SMBclient 共享
域账号域内的所有机器都可以登录
域账号加到本地管理员
域管默认是域内机器的本地管理员
进来获取的是SYSTEM权限,因为tom还是该机器的本地管理员
域控 hash pth
RODC 获取权限拿到flag 把RODC域机器全部拿下flag
总结
医院 场景1
docker
入口题 o2oa flag 要求拿官网
minio 静态文件 官网的一些js和图片。