来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

admin 2022年3月28日19:23:22评论79 views字数 1592阅读5分18秒阅读模式

关卡1:

1.拿到一台windows机器,权限为普通用户admin1

2.要求读到Usersadministratordesktopflag.txt内容

那可以开始思考了(❍ᴥ❍ʋ)

这个东西是要有管理员的权限才能读取到文件,所以肯定是要提权辣。

所以我们尝试用windows漏洞提权。


首先先systeminfo看一下信息

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

Microsoft Windows [版本 10.0.17763.2366]

可以看到他打了一些比较新的补丁,于是开始尝试了2021年一些的提权漏洞。

这里要主观去判断一下໒(^ᴥ^)७

对于Windows来说,虽然他没有打40449的补丁。

但是他打了比较新的漏洞补丁,所以有可能导致这个漏洞被修复了。

因为有些windows漏洞补丁是累加的

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

尝试了一些windows提权漏洞之后发现!!!

这些漏洞要么打不成,要么要弹cmd窗口。

弹窗在cs上面不适用哇。

这时候最最可爱的楠宝说可以把提权弹窗的代码修改为直接cs上线的shellcode。

过程如下:

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

把cs上生成c的payload替换到exp里面

然后生成一个exe直接运行

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

但是也失败辣໒( ̿・ ᴥ ̿・ )ʋ


于是换了个思路看一下开了哪些服务

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

发现打印机ʕ•̀ω•́ʔ✧

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

传压缩包上去后 破windows解压有问题

于是就测试只上传两个文件能不能利用成功呢

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

测试OK 开始整活

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

但是这里添加用户行为没成功(他机器上有火绒

所以猜测是火绒拦截了

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

呜呜呜这个权必须提

不然楠宝又不吃晚饭了 不能让她自己偷偷瘦下来චᆽච


在最后快要放弃的时候!!!

突然发现还有CVE-2021-36934这个洞

这个漏洞由于对多个系统文件(包括安全帐户管理器 (SAM) 数据库)的访问控制列表 (ACL) 过于宽松,攻击者可读取SAM,SYSTEM,SECURITY等文件内容,进而获取用户NTLM Hash值,从而通过解密Hash值或Hash传递等方法造成特权提升漏洞。

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

这个漏洞利用比较苛刻 需要要求机器创建过系统还原点

看了看他也没打KB5005030这个补丁 那就浅试一下叭

目标机器上运行HiveNightmare.exe

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

运行成功后会生成3个文件,读取到的SAM、SECURITY、SYSTEM

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

自己电脑上下载impacket

用其中的 secretsdump.py 获取目标用户的 hash

python3 secretsdump.py -sam SAM-2022-03-17 -system SYSTEM-2022-03-17 -security SECURITY-2022-03-17 LOCAL

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

正常情况下获取到管理员用户的HASH之后,可以使用impacket-psexec工具。

然后通过传递Hash利用SMB服务获取目标系统SYSTEM权限。

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

但是这里我没有去搭建隧道

所以就试试看拿到的ntml hash能不能解(不能解在考虑pth

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

拿到密码后就开始要使用管理员权限去读取flag.txt了


这里脑瓜子乱掉了 我没有代理 不能3389

那怎么去用这个管理员权限呢

尝试内网横向的方式

wmiexec.vbs、smbexec、psexec等

开始想使用psexec 但是

1.这样得到的是cmd框 2.给机器再去整个psexec太麻烦

shell psexec \192.168.11.247 -u administrator -p 123 -s cmd

使用wmic 失败

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

想使用网上那个工具 但是没回显

我不知道为什么OvO

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!


于是就想能不能使用net use呢?

这里我脑子真的短路了 导致原地tp了好久

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

原因是没有用ip 所以导致我的会话还是当前权限的会话

还有一个脑残问题

就是在net use和type命令连起来用的时候

我竟然忘了要用&&

直接把命令连起来用了 导致一直失败


本地测试可行性:

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

成功。

欧耶!

机器上操作

来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!



下一篇可以更新看能不能用数据库权限做一些事情~


请多多指教 peko!!!

原文始发于微信公众号(WhITECat安全团队):来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月28日19:23:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ヨシ!https://cn-sec.com/archives/845817.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息