来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ﾖｼ!

关卡1：

1.拿到一台windows机器，权限为普通用户admin1

2.要求读到Usersadministratordesktopflag.txt内容

那可以开始思考了(❍ᴥ❍ʋ)

这个东西是要有管理员的权限才能读取到文件，所以肯定是要提权辣。

所以我们尝试用windows漏洞提权。

首先先systeminfo看一下信息

Microsoft Windows [版本 10.0.17763.2366]

可以看到他打了一些比较新的补丁，于是开始尝试了2021年一些的提权漏洞。

这里要主观去判断一下໒(＾ᴥ＾)७

对于Windows来说，虽然他没有打40449的补丁。

但是他打了比较新的漏洞补丁，所以有可能导致这个漏洞被修复了。

因为有些windows漏洞补丁是累加的。

尝试了一些windows提权漏洞之后发现!!!

这些漏洞要么打不成，要么要弹cmd窗口。

弹窗在cs上面不适用哇。

这时候最最可爱的楠宝说可以把提权弹窗的代码修改为直接cs上线的shellcode。

过程如下：

把cs上生成c的payload替换到exp里面

然后生成一个exe直接运行

但是也失败辣໒( ̿･ ᴥ ̿･ )ʋ

于是换了个思路看一下开了哪些服务

发现打印机ʕ•̀ω•́ʔ✧

传压缩包上去后 破windows解压有问题

于是就测试只上传两个文件能不能利用成功呢

测试OK 开始整活

但是这里添加用户行为没成功（他机器上有火绒

所以猜测是被火绒拦截了

呜呜呜这个权必须提

不然楠宝又不吃晚饭了 不能让她自己偷偷瘦下来චᆽච

在最后快要放弃的时候!!!

突然发现还有CVE-2021-36934这个洞

这个漏洞由于对多个系统文件（包括安全帐户管理器 (SAM) 数据库）的访问控制列表 (ACL) 过于宽松，攻击者可读取SAM，SYSTEM，SECURITY等文件内容，进而获取用户NTLM Hash值，从而通过解密Hash值或Hash传递等方法造成特权提升漏洞。

这个漏洞利用比较苛刻 需要要求机器创建过系统还原点

看了看他也没打KB5005030这个补丁 那就浅试一下叭

目标机器上运行HiveNightmare.exe

运行成功后会生成3个文件，读取到的SAM、SECURITY、SYSTEM

自己电脑上下载impacket

用其中的 secretsdump.py 获取目标用户的 hash

python3 secretsdump.py -sam SAM-2022-03-17 -system SYSTEM-2022-03-17 -security SECURITY-2022-03-17 LOCAL

正常情况下获取到管理员用户的HASH之后，可以使用impacket-psexec工具。

然后通过传递Hash利用SMB服务获取目标系统SYSTEM权限。

但是这里我没有去搭建隧道

所以就试试看拿到的ntml hash能不能解（不能解在考虑pth

拿到密码后就开始要使用管理员权限去读取flag.txt了

这里脑瓜子乱掉了 我没有代理 不能3389

那怎么去用这个管理员权限呢

尝试内网横向的方式

像wmiexec.vbs、smbexec、psexec等

开始想使用psexec 但是

1.这样得到的是cmd框 2.给机器再去整个psexec太麻烦

shell psexec \192.168.11.247 -u administrator -p 123 -s cmd

使用wmic 失败

想使用网上那个工具 但是没回显

我不知道为什么OvO

于是就想能不能使用net use呢？

这里我脑子真的短路了 导致原地tp了好久

原因是没有用ip 所以导致我的会话还是当前权限的会话

还有一个脑残问题

就是在net use和type命令连起来用的时候

我竟然忘了要用&&

直接把命令连起来用了 导致一直失败

本地测试可行性：

成功。

欧耶！

机器上操作：

下一篇可以更新看能不能用数据库权限做一些事情~

请多多指教 peko!!!

原文始发于微信公众号（WhITECat安全团队）：来一起玩闯关小游戏吧(๑˃̵ᴗ˂̵)و ﾖｼ!