Ichunqiu云境 —— Endless(无间计划) Writeup

admin 2023年7月12日14:10:04Ichunqiu云境 —— Endless(无间计划) Writeup已关闭评论88 views字数 5323阅读17分44秒阅读模式

Ichunqiu云境 —— Endless(无间计划) Writeup

Author:小离-xiaoli

0x00 Intro

前言:

  • 两个入口点,一个入口点是pboot-cms,另外一个是SQL注入
  • 这边入口外网IP可能会有不一致得地方,因为靶场重启次数比较多,IP经常变化
  • OSCP风格,不使用CS/MSF
  • 这个靶场共有12个Flag
    \

0x01 Recon

扫描结果:

  1. 入口点1 - SQL注入 (Linux):

    Ichunqiu云境 —— Endless(无间计划) Writeup

  2. 入口点2 - Pboot-CMS (Linux):

    Ichunqiu云境 —— Endless(无间计划) Writeup

0x02 入口点1 - SQL注入 (Linux)

前言:

  • 一个站库分离的oracle注入,web是linux,注入点可以通过oracle注入发现到是一个windows,权限非dba,只有java runtime permission,这里没截图
  • 这里前几次都没打成功,卡了挺久,后面搭建了个oracle和九世一起测试的
  • 不建议用SqlMap,会把站打挂,并且可以看源码发现sqlmap提权函数没有定义关于oracle数据库的攻击方法
  • Oracle 版本 Oracle Database 11g Enterprise Edition Release 11.2.0.1.0
    \

  • 直接上payload

Ichunqiu云境 —— Endless(无间计划) Writeup

  1. 函数LINXRUNCMD创建成功

    Ichunqiu云境 —— Endless(无间计划) Writeup

  2. whoami,直接是system权限了

    Ichunqiu云境 —— Endless(无间计划) Writeup

  3. ipconfig,该数据库内网IP为 172.23.4.51,此时需要回到入口点2进入内网了

    Ichunqiu云境 —— Endless(无间计划) Writeup

0x03 入口点2 - Pboot-CMS (Linux) - Flag 1

前言:

  • 西湖论剑CTF的题目,有WAF,考你怎么绕过pboot cms的disable function,这里用的是大哥的payloadhttps://guokeya.github.io/post/WscncUrcS/

  • Payload(未授权RCE):

GET /?a=}{pboot{user:password}:if(("sys\x74em")("whoami"));//)}xxx{/pboot{user:password}:if} HTTP/1.1
Host: 39.98.94.70:80
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/106.0.5249.62 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://39.98.94.70/admin.php
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie: lg=cn; PbootSystem=h6o5ta1btl6o32bi184ula183l
Connection: close
Content-Length: 0

  1. PrivESC to root with CVE-2022-2588(这里用不了pwnkit,pkexec玄学)

    Ichunqiu云境 —— Endless(无间计划) Writeup

  2. 入口IP 172.23.4.32

    Ichunqiu云境 —— Endless(无间计划) Writeup

  3. Flag 1

    Ichunqiu云境 —— Endless(无间计划) Writeup

0x05 Target: 172.23.4.51 - Flag 2

  1. 通过上面的入口点搭建代理,横向回到上面打下的oracle数据库 172.23.4.51,获取到Flag 2

    Ichunqiu云境 —— Endless(无间计划) Writeup

0x04 Target: 172.23.4.12 - Flag 3

  1. 172.23.4.51 的Desktop 有个Usera的凭据

username: usera@pentest.com
password:Admin3gv83

Ichunqiu云境 —— Endless(无间计划) Writeup

  1. 挂个代理,CME扫一扫

    Ichunqiu云境 —— Endless(无间计划) Writeup

  2. 这里忘记截图了,usera对4.12能RDP,RDP上去就可以了

  3. 提权方法1:krbrelayup直接提权

  4. 提权方法2:usera对该机器有writedacl,能rbcd提权到system

    Ichunqiu云境 —— Endless(无间计划) Writeup

  5. 横向上去后,发现C:\users\usera\目录下有.ssh目录,里面有一个私钥(私钥没截到图),known_hosts看到有个IP 172.23.4.19

    Ichunqiu云境 —— Endless(无间计划) Writeup

  6. Flag 3

    Ichunqiu云境 —— Endless(无间计划) Writeup

0x05 Target: 172.23.4.19 (172.24.7.16) - Flag 4

  1. 使用在172.23.4.12获取到的私钥登录进入172.23.4.19,回到了上面入口点1的web服务器,获取到root权限

    Ichunqiu云境 —— Endless(无间计划) Writeup

  2. Flag 4

    Ichunqiu云境 —— Endless(无间计划) Writeup

0x06 突破内网隔离处-1 - No Flag

  • 172.23.4.12 - 双网卡 - 172.24.7.16

    Ichunqiu云境 —— Endless(无间计划) Writeup

0x07 Target: 172.24.7.48 (绕路) - Flag 5

前言:

  • 这里会绕路,是靶场设计思路的问题,我一开始也没想到能直接用CVE-2022-26923打下来,后面在这台机器上实在翻不到东西了,才用了CVE-2022-26923
  • 后续和作者沟通了,作者原先是希望说从通过下述操作拿下机器后,找到一张管理员的证书,用证书直接打到域控,但是作者可能觉得太简单了,后面把证书删除了,后面复盘的时候作者说就是用 CVE-2022-26923 打下来
  • 个人建议的话,可以在这台机器上弄一些信息泄露的点,用泄露的凭据改ESC1之类的,如果要增加难度的话,可以考虑把智能卡攻击也弄上

  • 使用凭据usera扫描一下172.24.7.0/24,调用petitpotam

    Ichunqiu云境 —— Endless(无间计划) Writeup

  • 这里IP和主机名有点乱,我们备注一下

172.24.7.5 DCadmin.pen.me (当前不在我们的范围内)
172.24.7.48 IZAYSXE6VCUHB4Z.pentest.me (在范围内,未拿下)
172.24.7.16 IZMN9U6ZO3VTRNZ.pentest.me (在范围内,已经拿下)
172.24.7.3 DC.pentest.me (在范围内,未拿下)
172.24.7.43 IZMN9U6ZO3VTRPZ.pentest.me (在范围内,未拿下)

  1. 扫一扫webclient服务,确定172.24.7.48能打下了
    ![[Pasted image 20230308153302.png]]
  2. 难点在于你现在处于第二层网段,也好解决

  3. 端口转发链如下

172.24.7.16:80(双网卡,通172.23.4.0/24) ---forward--- 172.23.4.19:81(SSH) ---forward--- localhost:79 ---forward--- kali:8001

  • SSH端口转发监听127.0.0.1的问题可以看回我之前的文章:IChunQiu-spoofing

  • 端口转发准备:

172.23.4.19

Ichunqiu云境 —— Endless(无间计划) Writeup

172.24.7.16(也是IP 172.23.4.12)

Ichunqiu云境 —— Endless(无间计划) Writeup

  1. 启用ntlmrelayx.py,这里的escalate-user写的是172.24.7.16的主机名,截图是已经用petitpotam触发回连了,可以看到是已经完成了rbcd攻击了

    Ichunqiu云境 —— Endless(无间计划) Writeup

  2. petitpotam触发webclient实现中继

    Ichunqiu云境 —— Endless(无间计划) Writeup

  3. Flag 5

    Ichunqiu云境 —— Endless(无间计划) Writeup

0x08 Target: 172.24.7.3 - Flag 6

  1. 域控装了ADCS(直接SMB看域控共享就懂了)

    Ichunqiu云境 —— Endless(无间计划) Writeup

  2. 提示ESC8

    Ichunqiu云境 —— Endless(无间计划) Writeup

  3. 但是,经过复杂的操作 (停445+端口转发),却和我说ADCS关了ntlm认证

    Ichunqiu云境 —— Endless(无间计划) Writeup

  4. 后面实在找不到东西了,直接CVE-2022-26923冲死,使用一个有效域凭据(普通权限)创建机器账户

    Ichunqiu云境 —— Endless(无间计划) Writeup

  5. CVE-2022-26923生成一张域控的证书

    Ichunqiu云境 —— Endless(无间计划) Writeup

  6. 还原NTLM出来(这里忘记截图,只能用帮助文档了)

    Ichunqiu云境 —— Endless(无间计划) Writeup

  7. Dcsync

    Ichunqiu云境 —— Endless(无间计划) Writeup

  8. 远程上172.24.7.3就能获得Flag 6了,这里忘记截图了
  9. 然后就顺便扫一扫看看有没有其他网卡

    Ichunqiu云境 —— Endless(无间计划) Writeup

0x09 突破内网隔离处-2 - No Flag

  • 172.24.7.3 - 双网卡 - 172.25.12.9

    Ichunqiu云境 —— Endless(无间计划) Writeup

0x10 Target: 172.25.12.7 - Flag 7

前言:

  • 这里原先是用sid history进行跨域攻击,但是靶场环境有问题,作者也排查了很多次,确认环境有问题,sid history始终没打成功(没有开启sid过滤),然后作者才选择更换攻击路径

  • DCadmin 这台机器也是双网卡(172.24.7.5 和 172.25.12.7),不知道为什么上面的探测没扫出来

    Ichunqiu云境 —— Endless(无间计划) Writeup

  • 到这里,我们更新一下笔记

```
pen.me
172.25.12.7 (172.24.7.5) DCadmin.pen.me (在范围内,还没拿下)
172.25.12.19 IZ1TUCEKFDPCEMZ.pen.me (在范围内,还没拿下)
172.25.12.29 IZ88QYK8Y8Y3VXZ.pen.me (在范围内,还没拿下)

pentest.me
172.25.12.9 (172.24.7.3) DC.pentest.me (在范围内,已经拿下)
172.24.7.48 IZAYSXE6VCUHB4Z.pentest.me (在范围内,已经拿下)
172.24.7.16 IZMN9U6ZO3VTRNZ.pentest.me (在范围内,已经拿下)
172.24.7.3 DC.pentest.me (在范围内,已经拿下)
172.24.7.43 IZMN9U6ZO3VTRPZ.pentest.me (在范围内,有管理员凭据,还没登录上去)
```

\

  1. Bloodhound看看是什么关系,可以看到,Administrator\@pentest.me 是 dcadmin.pen.me的管理员

    Ichunqiu云境 —— Endless(无间计划) Writeup

  2. 这里也是有些奇怪,作者是可以直接横向过去的

    Ichunqiu云境 —— Endless(无间计划) Writeup

  3. 嘿,轮到我就不行(不知道是什么原因,我psexec也没成功)

    Ichunqiu云境 —— Endless(无间计划) Writeup

  4. 干脆就RBCD了,我也不纠结 (RBCD过程省略)

    Ichunqiu云境 —— Endless(无间计划) Writeup

  5. Flag 7

    Ichunqiu云境 —— Endless(无间计划) Writeup

  6. DCSync过程略
    \

0x11 Target: 172.25.12.19 - Flag 8

  1. 用上面DCSync获取到的域管理员凭据直接横向就可以获取到 Flag 8 了

    Ichunqiu云境 —— Endless(无间计划) Writeup

0x12 Target: 172.25.12.29 - Flag 9

  1. 用上面DCSync获取到的域管理员凭据直接横向就可以获取到 Flag 9 了

    Ichunqiu云境 —— Endless(无间计划) Writeup

0x13 Target: 172.25.12.19 (Exchange) - Flag 10

  1. 看看这台机器的SPN,就知道172.25.12.19上面跑着Exchange了

    Ichunqiu云境 —— Endless(无间计划) Writeup

  2. 在域内你可以快速过滤homeMDB这个attribute,就知道用户有没有登录过邮服了,以下这个Exchange用户是我们要看的

    Ichunqiu云境 —— Endless(无间计划) Writeup

  3. 使用Exchange用户登录进入OWA,就可以获取到Flag 10 了

    Ichunqiu云境 —— Endless(无间计划) Writeup

0x14 Target: 172.24.7.43 (172.26.8.12) - Flag 11

  1. 用上面在pentest.me里面DCSync获取到的管理员凭据直接横向过去172.24.7.43即可获取到Flag11 了

    Ichunqiu云境 —— Endless(无间计划) Writeup

0x15 突破内网隔离处-3 - No Flag

  • 172.24.7.43 - 双网卡 - 172.26.8.12

    Ichunqiu云境 —— Endless(无间计划) Writeup

0x16 Target: 172.24.7.27 & 172.24.7.23 - No Flag

  1. 我们回到 172.24.7.0/24,内网扫描 172.24.7.0/24发现有两个web服务,一个confluence和一个gitlab,对应url如下

confluence: 172.24.7.27:8090
gitlab: 172.24.7.23

  1. 使用上面获取到的usera凭据直接登录进入confluence,可以发现有两个xlsx列表,用最新的即可

    Ichunqiu云境 —— Endless(无间计划) Writeup

  2. 无间实验室人员名单.xlsx

    Ichunqiu云境 —— Endless(无间计划) Writeup

  3. 在dc.pentest.me批量跑一下ldap,发现都是有效凭据,这里随便一个域用户都能登录进入gitlab,但是都没项目(登录gitlab的图忘记截图了)

    Ichunqiu云境 —— Endless(无间计划) Writeup

  4. 可以用在ldap筛选出有效用户(毕竟是ldap认证,当然你用kerbrute枚举也可以),然后配合利用git命令批量枚举,你能发现用户luizhuo有一个私人项目叫 Financial system-demo

    Ichunqiu云境 —— Endless(无间计划) Writeup

  5. 有一个SQL Server的凭据,但是IP是127.0.0.1

    Ichunqiu云境 —— Endless(无间计划) Writeup

  6. 找找commit历史,发现一个ip 172.26.8.16

    Ichunqiu云境 —— Endless(无间计划) Writeup

  7. 凭据记录

IP: 172.26.8.16
username: sa
password: sqlserver_2022

9.后续复盘和作者交流过,gitlab不能直接拿下,但是最新的exp我没测试,有兴趣的大哥可以测试一下
\

0x17 Target: 172.26.8.16 - Flag 12

  1. 因为 172.24.7.43 这台机器通往 172.26.8.0/24网段,我们在 gitlab 172.24.7.23 刚好获取到过一个 SQL Server的凭据

IP: 172.26.8.16
username: sa
password: sqlserver_2022

  1. 在这台机器上搞个代理,直接连接,然后一把梭(这里用的项目是https://github.com/Ridter/PySQLTools)

    Ichunqiu云境 —— Endless(无间计划) Writeup

  2. 服务账户权限

    Ichunqiu云境 —— Endless(无间计划) Writeup

  3. CLR提权

    Ichunqiu云境 —— Endless(无间计划) Writeup

  4. 直接改个管理员密码

    Ichunqiu云境 —— Endless(无间计划) Writeup

  5. Flag 12

    Ichunqiu云境 —— Endless(无间计划) Writeup

0x18 Attack Graph

Ichunqiu云境 —— Endless(无间计划) Writeup

0x19 Outro

  • 感谢九世大哥的协作帮忙,入口点帮助了很多,oracle注入那看到头秃了
  • 感谢作者满秋和WHOAMI的帮助
  • 靶场在做的过程中,发现了不少的BUG,但是作者都很热心的修补了BUG,期间还退还了沙子
  • 做起来和你打攻防项目一样坐牢

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年7月12日14:10:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Ichunqiu云境 —— Endless(无间计划) Writeuphttps://cn-sec.com/archives/1868865.html