Privilege靶场wp

admin
admin
admin
86746
文章
81
评论
2023年11月2日02:44:16评论10 views字数 2124阅读7分4秒阅读模式

flag01

第一问题目需求

Privilege靶场wp

打开靶场发现用的是wp的

Privilege靶场wp

然后用wpscan扫描wp网站看看有没有wp漏洞

Privilege靶场wp

查看主题漏洞,无果

Privilege靶场wp

查看插件也无果 看题目提示有个jenkins,我们先看看jenkins在哪儿,并对主站点进行目录扫描

Privilege靶场wp

发现存在源码备份 然后下载源码

Privilege靶场wp

参考官方手册我们发现最可疑的目录就是tools,因为官方手册没介绍这个目录的作用

Privilege靶场wp

访问下phpinfo文件看下路由规则

Privilege靶场wp

Privilege靶场wp

发现logfile参数存在任意文件读取漏洞,并且题目给出提示,Jenkins 配置目录为 C:ProgramDataJenkins.jenkins,对于jenkins他的密码文件 在/Jenkins/.jenkins/secrets/initialAdminPassword

对于Jenkins的后渗透文章我贴两个博客,因为后面步骤也需要用到

https://www.cnblogs.com/zpchcbd/p/17573272.html

Privilege靶场wp

发现开放了3389也就是我们可以rdp他,还有8080,8080访问就是我们jenkins

Privilege靶场wp

读出jenkins密码 登录

Privilege靶场wp

510235cf43f14e83b88a9f144199655b jenkins后台的script用的是groovy 直接/script就可以脚本执行

语法参考:

https://xz.aliyun.com/t/10703

Privilege靶场wp

发现权限挺高,尝试直接添加用户rdp登录

Privilege靶场wp

Privilege靶场wp

把刚才加的用户加到本地管理组里

Privilege靶场wp

直接翻找文件夹

Privilege靶场wp

可以看到这上面有phpstudy,毋庸置疑跑的就是wp,然后直接上传neo代理(反正也是靶场无所 谓,哈哈哈哈哈哈哈) 因为后面几问需要打内网机器 顺便给这个机器上丢一个fscan扫他内网

Privilege靶场wp

Privilege靶场wp

然后再rdp中用命令行进行信息收集,查看网段信息

Privilege靶场wp

然后用fscan扫下172段

Privilege靶场wp

结合上面信息发现入口机不在域内

flag02

查看第二个要求

Privilege靶场wp

Privilege靶场wp

DC的ip为172.22.14.11

Privilege靶场wp

配置好全局代理 C:ProgramDataJenkins.jenkins通过这个路径下的credentials.xml文件可以获取到gitlab的 api_token

Privilege靶场wp

{AQAAABAAAAAg9+7GBocqYmo0y3H+uDK9iPsvst95F5i3QO3zafrm2TC5U24QCq0zm/GEobmrm LYh} 然后回到jenkins解密下api,这里可以参考上面的文章

Privilege靶场wp

glpat-7kD_qLH2PiQv_ywB9hz2 然后用gitlabbower查看gitlab仓库 执行命令 

python gitlab_browser.py "http://172.22.14.16/" "glpat-7kD_qLH2PiQv_ywB9hz2" list查看内容

Privilege靶场wp

一个一个看发现再id4的仓库中有ORACLE账密

Privilege靶场wp

url: jdbc:oracle:thin:@172.22.14.31:1521/orcl username: xradmin password: fcMyE8t9E4XdsKf 用工具ORACLEshell链接并且进行命令执行

Privilege靶场wp

然后执行net user lan1 Abcd1234 /add加个用户 然后再加入到管理组里

Privilege靶场wp

通过入口机连到刚才的ORACL服务器,然后获取到flag02

Privilege靶场wp

并且信息收集发现不在域内

Privilege靶场wp

然后再看之前的gitlab中发现这个

Privilege靶场wp


查看其内容 然后cat下

Privilege靶场wp

发现一堆机器+用户名+密码 下面这个对应的是46的目标机器,我们可以直接登录 172.22.14.46(结合fscan扫描结果) 

XR-0923 | zhangshuai | wSbEajHzZs 

发现这个可以rdp

Privilege靶场wp

Privilege靶场wp

发现这个机器存在域内 这个提权呢,因为我们有机器账号密码了,直接管理员身份运行cmd就ok,然后我们下一步就直 接对域内信息收集就好

Privilege靶场wp

密码:wSbEajHzZs 然后直接加个管理员账号就好 

net user lan3 123456lABC /add 

net localgroup administrators lan3 /add 发现不行

Privilege靶场wp

Privilege靶场wp

可以用winrm链接

Privilege靶场wp

然后查看权限

Privilege靶场wp

发现启用了,那么就可以经行shift提权

Privilege靶场wp

然后对我们这台目标机锁屏,然后连按5下shift,就可以弹出system权限的cmd

Privilege靶场wp

Privilege靶场wp

执行成功 172.22.14.46:lan4:123456lABC 登录进来

Privilege靶场wp

flag03得到 然后cmd名字改回去

Privilege靶场wp

域控

然后对其域内信息收集 因为这台机器是在域内,那么他的用户也都在域内。

Privilege靶场wp

抓密码

Privilege靶场wp

发现查看域用户这些没权限,先抓密码看看

Privilege靶场wp

发现一个机器账户,然后spn查询下

Privilege靶场wp

找到tianjing的用户 然后抓他的用户st

Privilege靶场wp

然后hashcat爆破hash然后winrm登录

Privilege靶场wp

写内容 如下

set context persistent nowritersadd volume c: alias lancreate expose%lan% z:

Privilege靶场wp

Privilege靶场wp

然后经行卷影拷贝

Privilege靶场wp

Privilege靶场wp

然后再拷贝下system文件

Privilege靶场wp

把他们拷贝下来 可能是网速原因,一直下载不下来,所以我这里直接把secretsdump工具上传上去

Privilege靶场wp

Privilege靶场wp

然后hash登录,创建用户,链接rdp

Privilege靶场wp

Privilege靶场wp

总结

jenkins后渗透,gitlab后渗透,ORACLE数据库命令执行,kerberosating攻击,权限提升,winrm pth ,粘滞键提权

差不多这些

原文始发于微信公众号(T大4的小圈圈):Privilege靶场wp

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月2日02:44:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Privilege靶场wphttp://cn-sec.com/archives/2165737.html

发表评论

匿名网友 填写信息