前言

Initial是一套难度为简单的靶场环境，完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag，各部分位于不同的机器上。

步骤

入口处是一个电源管理系统，指纹识别可以得出是thinkphp框架，直接用工具扫描是否存在thinkphp漏洞。

确定有漏洞后就可以直接进行RCE。

getshell后拿的权限是www-data权限，这里可以使用sudo提权来读取flag1:(sudo mysql -e '\! cat /root/flag/flag01.txt')

拿下第一个flag后用frp带代理扫描内网机器，扫描结果如下：

172.22.1.2（域控）172.22.1.15（边界机）172.22.1.18（信呼协同办公系统）172.22.1.21（永恒之蓝）

首先使用永恒之蓝拿下172.22.1.21这台机器，这里可以使用msf的ms17-010模块进行攻击。

但是在这台机器上并没有拿到第二个flag，根据提示可以利用DCSync进行下一步操作

使用kiwi模块读取域内用户hash后可以利用crackmapexec脚本获取域控权限并读取flag

这里读取到的是flag3，看来flag2在172.22.1.18这台机器上。

针对172.22.1.18这里提供三个方法获取权限，由于172.22.1.18也在域内，第一个方法可以直接利用上面的域管hash来读取flag。

方法二是直接利用信呼OA漏洞进行文件上传来getshell

网上有相关脚本，可以直接利用

方法三是利用172.22.1.18上开放的phpmyadmin进行写文件（账号密码root:root），这里不再进行演示。