ichunqiu云境 - Delegation Writeup

admin 2023年3月12日15:32:17ichunqiu云境 - Delegation Writeup已关闭评论33 views字数 1371阅读4分34秒阅读模式

0x1 Info

ichunqiu云境 - Delegation Writeup

靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU 从web到内网再到域的靶场环境都全,且出题的思路很好,感兴趣的可以去玩玩

0x2 Recon

  1. Target external IP
    39.98.34.149
  2. Nmap results

    ichunqiu云境 - Delegation Writeup

  3. 关注80端口的http服务,目录爆破(省略)找到 /admin

    ichunqiu云境 - Delegation Writeup

  4. 使用弱口令登录进入后台,去到模板页面,编辑header.html,添加php一句话
    \

用户名: admin, 密码:123456

ichunqiu云境 - Delegation Writeup

  1. 命令执行

    ichunqiu云境 - Delegation Writeup

0x03 入口点:172.22.4.36

  1. 弹shell

    ichunqiu云境 - Delegation Writeup

快速过一下:

  • 入口机器没特别的东西
  • 没能提权到root权限(也不需要提权到root权限)
  • stapbpf suid利用失败

    找到diff suid

    ichunqiu云境 - Delegation Writeup
    2. flag01
    diff --line-format=%L /dev/null /home/flag/flag01.txt

    ichunqiu云境 - Delegation Writeup
    3. flag01 里面有提示用户名
    WIN19\Adrian
    4. 挂代理扫 445

    ichunqiu云境 - Delegation Writeup

获取到三个机器信息

172.22.4.19 fileserver.xiaorang.lab
172.22.4.7 DC01.xiaorang.lab
172.22.4.45 win19.xiaorang.lab
5. 用 Flag01提示的用户名 + rockyou.txt 爆破,爆破出有效凭据 (提示密码过期)

win19\Adrian babygirl1
6. xfreerdp 远程登录上 win19 然后改密码

ichunqiu云境 - Delegation Writeup

ichunqiu云境 - Delegation Writeup

0x04 Pwing WIN19 - 172.22.4.45

前言:当前机器除了机器账户外,完全没域凭据,需要提权到system获取机器账户

  1. 桌面有提示

    ichunqiu云境 - Delegation Writeup

  2. 关注这一栏,当前用户Adrian对该注册表有完全控制权限

    ichunqiu云境 - Delegation Writeup

ichunqiu云境 - Delegation Writeup
3. 提权
msfvenom生成服务马,执行 sam.bat

ichunqiu云境 - Delegation Writeup

sam.bat

ichunqiu云境 - Delegation Writeup

修改注册表并且启用服务,然后桌面就会获取到 sam,security,system

ichunqiu云境 - Delegation Writeup
4. 获取 Administrator + 机器账户 凭据

Administrator:500:aad3b435b51404eeaad3b435b51404ee:ba21c629d9fd56aff10c3e826323e6ab:::
\$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:917234367460f3f2817aa4439f97e636

ichunqiu云境 - Delegation Writeup
5. flag02

ichunqiu云境 - Delegation Writeup
6. 使用机器账户收集域信息

ichunqiu云境 - Delegation Writeup

0x05 DC takeover - 172.22.4.7

  1. 分析 Bloodhound,发现 WIN19 + DC01都是非约束委派

    ichunqiu云境 - Delegation Writeup

  2. 使用Administrator登录进入 WIN19,部署rubeus

    ichunqiu云境 - Delegation Writeup

  3. 使用DFSCoerce强制触发回连到win19并且获取到DC01的TGT

    ichunqiu云境 - Delegation Writeup

ichunqiu云境 - Delegation Writeup
4. Base64的tgt 解码存为 DC01.kirbi

ichunqiu云境 - Delegation Writeup
5. DCSync 获取域管凭据

ichunqiu云境 - Delegation Writeup
6. psexec - flag04

ichunqiu云境 - Delegation Writeup

0x06 Fileserver takeover - 172.22.4.19

  1. psexec - flag03

    ichunqiu云境 - Delegation Writeup

0x07 Outro

  • 感谢Alphabug师傅的提示(0x03 - 0x04),大哥已经把入口点都打完了,我只是跟着进来而已
  • 感谢九世师傅的合作
  • Spoofing已经打完了,walkthrough也写完了,等1000奖励到手后新年释出,个人感觉Spoofing更好玩,出题的思路很妙

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月12日15:32:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ichunqiu云境 - Delegation Writeuphttps://cn-sec.com/archives/1599540.html