Ichunqiu云境 —— Tsclient Writeup

最新推荐文章于 2023-12-15 21:46:29 发布
最新推荐文章于 2023-12-15 21:46:29 发布
阅读量760 收藏 1
点赞数
分类专栏: web渗透 内网渗透 文章标签: windows 网络安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WUfagg/article/details/128285020
版权

0x1 Info

  • Tag:
    MSSQL,Privilege Escalation,Kerberos,域渗透,RDP
    在这里插入图片描述
    靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU

0x2 Recon

  1. Target external ip
    47.92.82.196

  2. nmap
    在这里插入图片描述

  3. MSSQL 弱口令爆破,爆破出有效凭据,权限为服务账户权限(MSSQLSERVER)
    sa:1qaz!QAZ
    在这里插入图片描述

0x3 入口点 MSSQL - 172.22.8.18

  • 前言,该机器不在域内

  1. 直接MSSQL shell(这里做完了忘记截图了…)
    在这里插入图片描述

  2. 提权,这里直接获取Clsid暴力怼potato(前面几个clsid是用不了的)

    修改GetClsid.ps1,添加执行potato
    在这里插入图片描述


Potato和GetClsid.ps1
在这里插入图片描述


执行GetClsid.ps1
在这里插入图片描述


获取到有效clsid以及命令执行结果
在这里插入图片描述

  1. 导出SAM,SYSTEM,Security
    在这里插入图片描述


解出凭据,用administrator + psexec 139横向(外网没有开445)就能获取到 flag01
administrator 2caf35bb4c5059a3d50599844e2b9b1f
在这里插入图片描述

  1. qwinsta和端口连接看到有机器rdp过来
    在这里插入图片描述

在这里插入图片描述

  1. 这边使用administrator psexec后上msf(system权限),使用incognito模块,模拟至john(本人实测,只有msf的incognito能完成后续操作,f-secure lab等其他的模拟令牌工具没成功)
    在这里插入图片描述

  2. 使用john的token执行 net use 看到 \\tsclient\C 共享
    在这里插入图片描述

  3. 直接获取 \\tsclient\C 下面的 credential.txt,同时提示 hijack image (镜像劫持)
    xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#
    ![在这里插入图片描述
    ]

  • 快进,略过搭建代理过程

  1. CME 扫描 172.22.8.0/24,有三个机器提示密码过期了
    在这里插入图片描述

  2. 测试一下 DC01 88端口是否开启(测是否域控),DC01为域控
    在这里插入图片描述

  3. smbpasswd.py 远程修改一下过期密码,改成111qqq…
    在这里插入图片描述

  4. ldapshell.py 验证,登录域成功
    在这里插入图片描述

  5. CME 枚举 RDP,显示能登录进入 172.22.8.46(用CME官方的RDP模块不会扫出有效RDP凭据,这边自己写了一个基于xfreerdp的CME模块)
    XiaoliChan/CrackMapExec-Extension
    在这里插入图片描述

0x4 域渗透 - 入口 - 172.22.8.46

  1. 登录进入,查看到 xiaorang.lab\Aldrich 不是这台机器的管理员,只是普通用户
    在这里插入图片描述
  • 提权,两种方法

    Priv-ESC1:镜像劫持提权(常规)

    Get-ACL查看到任何用户都可以对注册表 “HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options” 进行写入,创建操作
    在这里插入图片描述


创建一个劫持magnify.exe(放大镜)的注册表,执行CMD.exe
在这里插入图片描述


锁定用户
在这里插入图片描述


点击放大镜
在这里插入图片描述


提权至system
在这里插入图片描述


Priv-ESC2:krbrelayup提权

域普通权限用户在域内机器,直接带走(非常规,推荐)
在这里插入图片描述

在这里插入图片描述

  1. 快进mimikatz,获取到当前机器的机器账户 win2016$
xiaorang.lab\WIN2016$ 4ba974f170ab0fe1a8a1eb0ed8f6fe1a

0x5 域渗透 - DC Takeover

  • 两种方法

  1. 观察 WIN2016$ 的组关系,发现处于 Domain Admins 组,直接使用 Dcsync 带走 DC01 (过程略)
    在这里插入图片描述

  2. 约束委派(非常规)

    Bloodhound收集域信息,分析,发现存在约束委派
    在这里插入图片描述


使用 getST.py 进行约束委派攻击
在这里插入图片描述


带走 DC01
在这里插入图片描述

0x6 Outro

  • 个人比较手残,不懂C,incognito那个部分,按照作者解释来说,常规是要自己写一个impersonate token的工具(还是没脱离MSF… TAT)
Gcow安全团队
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
春秋云境—Initial
龙狼刺的博客
07-15 1841
Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。在DCSync技术没有出现之前,攻击者要想拿到域内用户的hash,就只能在域控制器上运行 Mimikatz 或 Invoke-Mimikatz去抓取密码hash,但是在2015 年 8 月份, Mimkatz新增了一个主要功能叫"DCSync",使用这项技术可以有效地 “模拟” 域控制器并从目标域控上请求域内用户密码hash。
靶场练习--春秋云境-Tsclient
NoooEmotion的博客
01-28 2179
Tsclient是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有3个flag,分布于不同的靶机。
春秋云镜靶场挑战——Tsclient
Cobra的博客
03-25 2582
目标IP:39.98.73.212 网络拓扑 入口机器 1、使用namp对目标IP进行扫描,发现目标开放了1433端口(MSSQL服务),3389端口(RDP服务) 2、可以先爆破MSSQL服务,如下可以看出成爆破出密码 3、使用MDUT工具连接Mssql 4、使用xp_cmdshell执行命令发现只有一个比较地低的权限 5、使用CS生成木马,利用MDUT上传木马 6、执行木马上线CS C:/Users/Public/beacon.exe 7、使用土豆提
春秋云镜 ----Tsclient(kking)
m0_60742333的博客
11-02 562
工具:Multiple.Database.Utilization.Tools-2.1.1-jar-with-dependencies.jar。在 cmd窗口中输入查找flag 03 (若提示密码不正确则返回上一步查看hash值是否传递正确)通过复制粘贴的形式将mimikatz从本地上传到远程,并以管理员身份运行。kali里太卡了,转用SocksCap64-4.7配代理远程连接。密码过期了,使用kali直接连接远程桌面修改密码。获取后进行hash传递。发现mssql弱口令漏洞,使用工具连接。
春秋云镜-Tsclient-Writeup
qq_35607078的博客
07-12 4745
春秋云镜-Tsclient-Writeup
【内网渗透】春秋云镜 Tsclient WP
Sapphire037的博客
05-15 1109
mssql连接和攻击、windows提权、令牌窃取、镜像劫持。
tsclient:寒意打字稿客户端
04-14
tsclient 安装 yarn add @getchill.app/tsclient 用法 import { Credentials , rpcService , RPCService , certPath , RPCError } from '@getchill.app/tsclient' export const creds : Credentials = new ...
wsdl-tsclient:从wsdl生成打字稿客户端
04-03
WSDL TSClient 示例如何生成和使用: 从WSDL文件生成带有打字稿定义的。 该库正在使用生成打字稿代码和以供运行时使用。 受Java 和启发。 注意:将添加到您的npm运行时依赖项( npm i soap )安装npm i wsdl-...
TPM:TSClient LEGACY软件包管理器(TPM)-TSClient LEGACY ThinClient操作系统的软件包管理器。 它完全用OCaml编写,并使用GNU Tar,GNU Gzip和来自GNU Coreutils或类似程序的工具
02-03
**TPM:TSClient LEGACY软件包管理器详解** TSClient LEGACY的TPM,全称为ThinClient Package Manager,是一款专为TSClient LEGACY ThinClient操作系统设计的软件包管理器。这个工具的主要职责是简化软件的安装、...
TPM2:TSClient LEGACY软件包管理器(TPM)的版本2-TSClient LEGACY ThinClient操作系统的软件包管理器的第二版本完全用C ++编写。 它使用GNU Tar,zlib,TinyXML2和SQLite作为软件包数据库
02-04
TPM2,全称为TSClient LEGACY的软件包管理器的第二版本,是专为TSClient LEGACY ThinClient操作系统设计的一个高效且强大的工具。这个软件包管理器是完全使用C++编程语言编写的,体现了C++在系统级编程中的应用优势...
Terminal Server Client [tsclient]:项目已被https://sourceforge.net/projects/remmina/取代-开源
05-14
终端服务器客户端[tsclient]是rdesktop和其他远程桌面工具的GTK2前端。 该项目已被Remmina取代-https://sourceforge.net/projects/remmina/
i春秋云镜之Tsclient
weixin_65550121的博客
12-15 1025
因为它在远程连接我们的时候把磁盘也挂载过来了,这里由于我们不能让对面那台主机重启所以我们不能通过写启动项的方式让他上线但我们在对方的C盘发现了一个用户以及提示的信息接下来就是进一步的操作这里先把权限切换到John用户。因为对方远程登录的是这个桌面这里切忌一定不要远程上去你一旦远程上去 对方的连接就会断开 他的C盘也会断开所以你收集不到他的磁盘信息了迁移到John的进程上去。我们可以发现这里面都是windows的机器,我们先提权。我们发现是权限是mssql权限,所以我们需要提权。
春秋云镜-【仿真场景】Initial writeup
渗透测试研究中心
03-07 1225
开启靶机后是一个带着 ThinkPHP icon 的登陆界面,直接测试一下存在 5.0.23 RCE打一下,PHP-7.4.3 的环境,看一下 disable_functionspcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifco...
春秋云镜-Initial-Writeup
qq_35607078的博客
07-11 1052
春秋运镜-Initial-Writeup
WP-春秋云境-Tsclient专业徽章通关指南-flag01
qq_45234543的博客
01-04 817
Wp-春秋云镜Tsclient专业徽章Flag01
春秋云镜靶场Initial-WriteUP 专业徽章手把手教学
qq_45234543的博客
11-17 3758
春秋云镜靶场Initial-WP,专业徽章,完整flag获取教程
春秋云境Tsclient-WP【一遍过】
weixin_63576152的博客
10-05 259
quser查看计算机上的用户会话信息(quser命令在windows server和windows的某些专业版才适用)上传mimikatz,用shift后门启动管理员权限的cmd,运行mimikatz,执行命令。服务器管理器-->管理-->添加角色1 和功能-->功能-->勾选.net3.5进行安装。里面有一个敏感文件,查看后获取一个凭证和一个提示(镜像劫持)运行完会跳出一个命令框,直接通过命令行可以访问域控的文件。查看权限,当前用户是普通用户,没有管理员权限。或者用下面的命令添加用户test,远程登录。
远程桌面为什么勾选上了本地资源,但是在远程的计算机上还是不显示本地资源磁盘呢,是什么原因导致的...
weixin_34342578的博客
04-21 900
在远程电脑的地址栏内输入:\\tsclient\盘符 ,就可以打开我的电脑磁盘,写出来,与大家分享,希望有此问题的朋友能用得着。
春秋云镜-【仿真场景】Tsclient writeup
渗透测试研究中心
03-07 453
0x1 InfoTag:MSSQL,Privilege Escalation,Kerberos,域渗透,RDP靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU0x2 ReconTarget external ip47.92.82.196nmapMSSQL 弱口令爆破,爆破出有效凭据,权限为服务账户权限(MSSQLSE...
\\TSCLIENT\D\ZP20.XLS,是什么意思
最新发布
03-20
很抱歉,根据你提供的信息,我无法准确回答你关于"\\TSCLIENT\D\ZP20.XLS"的问题。"\\TSCLIENT\D\ZP20.XLS"看起来像是一个文件路径,但我无法确定具体是什么文件或者它的含义。如果你能提供更多的背景信息或者问题的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值