Ichunqiu云境 —— Tsclient Writeup

最新推荐文章于 2023-12-15 21:46:29 发布
最新推荐文章于 2023-12-15 21:46:29 发布
阅读量760 收藏 1
点赞数
分类专栏: web渗透 内网渗透 文章标签: windows 网络安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WUfagg/article/details/128285020
版权

0x1 Info

  • Tag:
    MSSQL,Privilege Escalation,Kerberos,域渗透,RDP
    在这里插入图片描述
    靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU

0x2 Recon

  1. Target external ip
    47.92.82.196

  2. nmap
    在这里插入图片描述

  3. MSSQL 弱口令爆破,爆破出有效凭据,权限为服务账户权限(MSSQLSERVER)
    sa:1qaz!QAZ
    在这里插入图片描述

0x3 入口点 MSSQL - 172.22.8.18

  • 前言,该机器不在域内

  1. 直接MSSQL shell(这里做完了忘记截图了…)
    在这里插入图片描述

  2. 提权,这里直接获取Clsid暴力怼potato(前面几个clsid是用不了的)

    修改GetClsid.ps1,添加执行potato
    在这里插入图片描述


Potato和GetClsid.ps1
在这里插入图片描述


执行GetClsid.ps1
在这里插入图片描述


获取到有效clsid以及命令执行结果
在这里插入图片描述

  1. 导出SAM,SYSTEM,Security
    在这里插入图片描述


解出凭据,用administrator + psexec 139横向(外网没有开445)就能获取到 flag01
administrator 2caf35bb4c5059a3d50599844e2b9b1f
在这里插入图片描述

  1. qwinsta和端口连接看到有机器rdp过来
    在这里插入图片描述

在这里插入图片描述

  1. 这边使用administrator psexec后上msf(system权限),使用incognito模块,模拟至john(本人实测,只有msf的incognito能完成后续操作,f-secure lab等其他的模拟令牌工具没成功)
    在这里插入图片描述

  2. 使用john的token执行 net use 看到 \\tsclient\C 共享
    在这里插入图片描述

  3. 直接获取 \\tsclient\C 下面的 credential.txt,同时提示 hijack image (镜像劫持)
    xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#
    ![在这里插入图片描述
    ]

  • 快进,略过搭建代理过程

  1. CME 扫描 172.22.8.0/24,有三个机器提示密码过期了
    在这里插入图片描述

  2. 测试一下 DC01 88端口是否开启(测是否域控),DC01为域控
    在这里插入图片描述

  3. smbpasswd.py 远程修改一下过期密码,改成111qqq…
    在这里插入图片描述

  4. ldapshell.py 验证,登录域成功
    在这里插入图片描述

  5. CME 枚举 RDP,显示能登录进入 172.22.8.46(用CME官方的RDP模块不会扫出有效RDP凭据,这边自己写了一个基于xfreerdp的CME模块)
    XiaoliChan/CrackMapExec-Extension
    在这里插入图片描述

0x4 域渗透 - 入口 - 172.22.8.46

  1. 登录进入,查看到 xiaorang.lab\Aldrich 不是这台机器的管理员,只是普通用户
    在这里插入图片描述
  • 提权,两种方法

    Priv-ESC1:镜像劫持提权(常规)

    Get-ACL查看到任何用户都可以对注册表 “HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options” 进行写入,创建操作
    在这里插入图片描述


创建一个劫持magnify.exe(放大镜)的注册表,执行CMD.exe
在这里插入图片描述


锁定用户
在这里插入图片描述


点击放大镜
在这里插入图片描述


提权至system
在这里插入图片描述


Priv-ESC2:krbrelayup提权

域普通权限用户在域内机器,直接带走(非常规,推荐)
在这里插入图片描述

在这里插入图片描述

  1. 快进mimikatz,获取到当前机器的机器账户 win2016$
xiaorang.lab\WIN2016$ 4ba974f170ab0fe1a8a1eb0ed8f6fe1a

0x5 域渗透 - DC Takeover

  • 两种方法

  1. 观察 WIN2016$ 的组关系,发现处于 Domain Admins 组,直接使用 Dcsync 带走 DC01 (过程略)
    在这里插入图片描述

  2. 约束委派(非常规)

    Bloodhound收集域信息,分析,发现存在约束委派
    在这里插入图片描述


使用 getST.py 进行约束委派攻击
在这里插入图片描述


带走 DC01
在这里插入图片描述

0x6 Outro

  • 个人比较手残,不懂C,incognito那个部分,按照作者解释来说,常规是要自己写一个impersonate token的工具(还是没脱离MSF… TAT)
Gcow安全团队
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
春秋镜-【仿真场景】Tsclient writeup
渗透测试研究中心
03-07 450
0x1 InfoTag:MSSQL,Privilege Escalation,Kerberos,域渗透,RDP靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU0x2 ReconTarget external ip47.92.82.196nmapMSSQL 弱口令爆破,爆破出有效凭据,权限为服务账户权限(MSSQLSE...
靶场练习--春秋-Tsclient
NoooEmotion的博客
01-28 2175
Tsclient是一套难度为中等的靶场环,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环核心认证机制的理解,以及掌握域环渗透中一些有趣的技术要点。该靶场共有3个flag,分布于不同的靶机。
春秋镜-Tsclient-Writeup
qq_35607078的博客
07-12 4246
春秋镜-Tsclient-Writeup
WP-春秋-Tsclient专业徽章通关指南-flag01
qq_45234543的博客
01-04 816
Wp-春秋Tsclient专业徽章Flag01
春秋镜靶场挑战——Tsclient
Cobra的博客
03-25 2556
目标IP:39.98.73.212 网络拓扑 入口机器 1、使用namp对目标IP进行扫描,发现目标开放了1433端口(MSSQL服务),3389端口(RDP服务) 2、可以先爆破MSSQL服务,如下可以看出成爆破出密码 3、使用MDUT工具连接Mssql 4、使用xp_cmdshell执行命令发现只有一个比较地低的权限 5、使用CS生成木马,利用MDUT上传木马 6、执行木马上线CS C:/Users/Public/beacon.exe 7、使用土豆提
tsclient:寒意打字稿客户端
04-14
tsclient 安装 yarn add @getchill.app/tsclient 用法 import { Credentials , rpcService , RPCService , certPath , RPCError } from '@getchill.app/tsclient' export const creds : Credentials = new ...
wsdl-tsclient:从wsdl生成打字稿客户端
04-03
WSDL TSClient 示例如何生成和使用: 从WSDL文件生成带有打字稿定义的。 该库正在使用生成打字稿代码和以供运行时使用。 受Java 和启发。 注意:将添加到您的npm运行时依赖项( npm i soap )安装npm i wsdl-...
TPM:TSClient LEGACY软件包管理器(TPM)-TSClient LEGACY ThinClient操作系统的软件包管理器。 它完全用OCaml编写,并使用GNU Tar,GNU Gzip和来自GNU Coreutils或类似程序的工具
02-03
**TPM:TSClient LEGACY软件包管理器详解** TSClient LEGACY的TPM,全称为ThinClient Package Manager,是一款专为TSClient LEGACY ThinClient操作系统设计的软件包管理器。这个工具的主要职责是简化软件的安装、...
TPM2:TSClient LEGACY软件包管理器(TPM)的版本2-TSClient LEGACY ThinClient操作系统的软件包管理器的第二版本完全用C ++编写。 它使用GNU Tar,zlib,TinyXML2和SQLite作为软件包数据库
02-04
TPM2,全称为TSClient LEGACY的软件包管理器的第二版本,是专为TSClient LEGACY ThinClient操作系统设计的一个高效且强大的工具。这个软件包管理器是完全使用C++编程语言编写的,体现了C++在系统级编程中的应用优势...
Terminal Server Client [tsclient]:项目已被https://sourceforge.net/projects/remmina/取代-开源
05-14
终端服务器客户端[tsclient]是rdesktop和其他远程桌面工具的GTK2前端。 该项目已被Remmina取代-https://sourceforge.net/projects/remmina/
【内网渗透】春秋Tsclient WP
Sapphire037的博客
05-15 1107
mssql连接和攻击、windows提权、令牌窃取、镜像劫持。
i春秋镜之Tsclient
weixin_65550121的博客
12-15 1016
因为它在远程连接我们的时候把磁盘也挂载过来了,这里由于我们不能让对面那台主机重启所以我们不能通过写启动项的方式让他上线但我们在对方的C盘发现了一个用户以及提示的信息接下来就是进一步的操作这里先把权限切换到John用户。因为对方远程登录的是这个桌面这里切忌一定不要远程上去你一旦远程上去 对方的连接就会断开 他的C盘也会断开所以你收集不到他的磁盘信息了迁移到John的进程上去。我们可以发现这里面都是windows的机器,我们先提权。我们发现是权限是mssql权限,所以我们需要提权。
春秋Tsclient-WP【一遍过】
weixin_63576152的博客
10-05 254
quser查看计算机上的用户会话信息(quser命令在windows server和windows的某些专业版才适用)上传mimikatz,用shift后门启动管理员权限的cmd,运行mimikatz,执行命令。服务器管理器-->管理-->添加角色1 和功能-->功能-->勾选.net3.5进行安装。里面有一个敏感文件,查看后获取一个凭证和一个提示(镜像劫持)运行完会跳出一个命令框,直接通过命令行可以访问域控的文件。查看权限,当前用户是普通用户,没有管理员权限。或者用下面的命令添加用户test,远程登录。
春秋镜 ----Tsclient(kking)
m0_60742333的博客
11-02 556
工具:Multiple.Database.Utilization.Tools-2.1.1-jar-with-dependencies.jar。在 cmd窗口中输入查找flag 03 (若提示密码不正确则返回上一步查看hash值是否传递正确)通过复制粘贴的形式将mimikatz从本地上传到远程,并以管理员身份运行。kali里太卡了,转用SocksCap64-4.7配代理远程连接。密码过期了,使用kali直接连接远程桌面修改密码。获取后进行hash传递。发现mssql弱口令漏洞,使用工具连接。
【渗透测试】Tsclient-春秋镜 极致的工具化打法!
m0_74272345的博客
10-03 559
这个靶场是纯Windows靶场,有很多难点,也有很多可扩展学习的地方。fscan爆出MSSQL弱口令,通过MDUT工具拿下WIN-WEBRDP贯穿整个内网渗透的思路,是这个靶场的核心john用户用tsclient挂载C盘到WIN-WEB,把域内主机用户密码给泄露了,可以做密码喷洒攻击(密码碰撞)映像劫持提权:放大镜这个是直接拿WP的用,可以扩展学习impacket工具包的使用作为一个学习渗透从B站红队笔记开始的人,春秋镜的靶场很多的使用工具让人有点略微不适应。
春秋镜靶场Initial-WriteUP 专业徽章手把手教学
qq_45234543的博客
11-17 3742
春秋镜靶场Initial-WP,专业徽章,完整flag获取教程
春秋—Initial
龙狼刺的博客
07-15 1833
Initial是一套难度为简单的靶场环,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。在DCSync技术没有出现之前,攻击者要想拿到域内用户的hash,就只能在域控制器上运行 Mimikatz 或 Invoke-Mimikatz去抓取密码hash,但是在2015 年 8 月份, Mimkatz新增了一个主要功能叫"DCSync",使用这项技术可以有效地 “模拟” 域控制器并从目标域控上请求域内用户密码hash。
春秋镜-Initial-Writeup
qq_35607078的博客
07-11 1044
春秋运镜-Initial-Writeup
远程桌面为什么勾选上了本地资源,但是在远程的计算机上还是不显示本地资源磁盘呢,是什么原因导致的...
weixin_34342578的博客
04-21 898
在远程电脑的地址栏内输入:\\tsclient\盘符 ,就可以打开我的电脑磁盘,写出来,与大家分享,希望有此问题的朋友能用得着。
\\TSCLIENT\D\ZP20.XLS,是什么意思
最新发布
03-20
很抱歉,根据你提供的信息,我无法准确回答你关于"\\TSCLIENT\D\ZP20.XLS"的问题。"\\TSCLIENT\D\ZP20.XLS"看起来像是一个文件路径,但我无法确定具体是什么文件或者它的含义。如果你能提供更多的背景信息或者问题的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值