春秋云镜-【仿真场景】Tsclient writeup

最新推荐文章于 2023-12-15 21:46:29 发布
最新推荐文章于 2023-12-15 21:46:29 发布
阅读量450 收藏 1
点赞数
分类专栏: 靶机攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64910183/article/details/129395414
版权

0x1 Info

  • Tag:
    MSSQL,Privilege Escalation,Kerberos,域渗透,RDP
    image

    靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU

0x2 Recon

  1. Target external ip47.92.82.196
  2. nmap
    image
  3. MSSQL 弱口令爆破,爆破出有效凭据,权限为服务账户权限(MSSQLSERVER)sa:1qaz!QAZ
    image

0x3 入口点 MSSQL - 172.22.8.18

  • 前言,该机器不在域内
  1. 直接MSSQL shell(这里做完了忘记截图了..)
    image
  2. 提权,这里直接获取Clsid暴力怼potato(前面几个clsid是用不了的)
    修改GetClsid.ps1,添加执行potato
    image

    Potato和GetClsid.ps1
    image

    执行GetClsid.ps1
    image

    获取到有效clsid以及命令执行结果
    image
  3. 导出SAM,SYSTEM,Security
    image

    解出凭据,用administrator + psexec 139横向(外网没有开445)就能获取到 flag01administrator 2caf35bb4c5059a3d50599844e2b9b1f
    image
  4. qwinsta和端口连接看到有机器rdp过来
    image
    image
  5. 这边使用administrator psexec后上msf(system权限),使用incognito模块,模拟至john(本人实测,只有msf的incognito能完成后续操作,f-secure lab等其他的模拟令牌工具没成功)
    image
  6. 使用john的token执行 net use 看到 \\tsclient\C 共享
    image
  7. 直接获取 \\tsclient\C 下面的 credential.txt,同时提示 hijack image (镜像劫持)xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#
    image
  • 快进,略过搭建代理过程
  1. CME 扫描 172.22.8.0/24,有三个机器提示密码过期了
    image
  2. 测试一下 DC01 88端口是否开启(测是否域控),DC01为域控
  3. smbpasswd.py 远程修改一下过期密码,改成111qqq...
    image
  4. ldapshell.py 验证,登录域成功
    image
  5. CME 枚举 RDP,显示能登录进入 172.22.8.46(用CME官方的RDP模块不会扫出有效RDP凭据,这边自己写了一个基于xfreerdp的CME模块)XiaoliChan/CrackMapExec-Extension
    image

0x4 域渗透 - 入口 - 172.22.8.46

  1. 登录进入,查看到 xiaorang.lab\Aldrich 不是这台机器的管理员,只是普通用户
  • 提权,两种方法
    Priv-ESC1:镜像劫持提权(常规)
    Get-ACL查看到任何用户都可以对注册表 "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" 进行写入,创建操作
    image

    创建一个劫持magnify.exe(放大镜)的注册表,执行CMD.exe
    image

    锁定用户
    image

    点击放大镜
    image

    提权至system
    image

    Priv-ESC2:krbrelayup提权
    域普通权限用户在域内机器,直接带走(非常规,推荐)
    image
    image
  1. 快进mimikatz,获取到当前机器的机器账户 win2016$
xiaorang.lab\WIN2016$ 4ba974f170ab0fe1a8a1eb0ed8f6fe1a

0x5 域渗透 - DC Takeover

  • 两种方法
  1. 观察 WIN2016$ 的组关系,发现处于 Domain Admins 组,直接使用 Dcsync 带走 DC01 (过程略)
    image
  2. 约束委派(非常规)
    Bloodhound收集域信息,分析,发现存在约束委派
    image

    使用 getST.py 进行约束委派攻击
    image

    带走 DC01
    image

渗透测试中心
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
wsdl-tsclient:从wsdl生成打字稿客户端
04-03
WSDL TSClient 示例如何生成和使用: 从WSDL文件生成带有打字稿定义的。 该库正在使用生成打字稿代码和以供运行时使用。 受Java 和启发。 注意:将添加到您的npm运行时依赖项( npm i soap )安装npm i wsdl-...
TPM:TSClient LEGACY软件包管理器(TPM)-TSClient LEGACY ThinClient操作系统的软件包管理器。 它完全用OCaml编写,并使用GNU Tar,GNU Gzip和来自GNU Coreutils或类似程序的工具
02-03
**TPM:TSClient LEGACY软件包管理器详解** TSClient LEGACY的TPM,全称为ThinClient Package Manager,是一款专为TSClient LEGACY ThinClient操作系统设计的软件包管理器。这个工具的主要职责是简化软件的安装、...
靶场练习--春秋云境-Tsclient
NoooEmotion的博客
01-28 2175
Tsclient是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有3个flag,分布于不同的靶机。
春秋云镜靶场挑战——Tsclient
Cobra的博客
03-25 2556
目标IP:39.98.73.212 网络拓扑 入口机器 1、使用namp对目标IP进行扫描,发现目标开放了1433端口(MSSQL服务),3389端口(RDP服务) 2、可以先爆破MSSQL服务,如下可以看出成爆破出密码 3、使用MDUT工具连接Mssql 4、使用xp_cmdshell执行命令发现只有一个比较地低的权限 5、使用CS生成木马,利用MDUT上传木马 6、执行木马上线CS C:/Users/Public/beacon.exe 7、使用土豆提
春秋云镜 ----Tsclient(kking)
m0_60742333的博客
11-02 556
工具:Multiple.Database.Utilization.Tools-2.1.1-jar-with-dependencies.jar。在 cmd窗口中输入查找flag 03 (若提示密码不正确则返回上一步查看hash值是否传递正确)通过复制粘贴的形式将mimikatz从本地上传到远程,并以管理员身份运行。kali里太卡了,转用SocksCap64-4.7配代理远程连接。密码过期了,使用kali直接连接远程桌面修改密码。获取后进行hash传递。发现mssql弱口令漏洞,使用工具连接。
春秋云镜-Tsclient-Writeup
qq_35607078的博客
07-12 4243
春秋云镜-Tsclient-Writeup
【渗透测试】Tsclient-春秋云镜 极致的工具化打法!
m0_74272345的博客
10-03 559
这个靶场是纯Windows靶场,有很多难点,也有很多可扩展学习的地方。fscan爆出MSSQL弱口令,通过MDUT工具拿下WIN-WEBRDP贯穿整个内网渗透的思路,是这个靶场的核心john用户用tsclient挂载C盘到WIN-WEB,把域内主机用户密码给泄露了,可以做密码喷洒攻击(密码碰撞)映像劫持提权:放大镜这个是直接拿WP的用,可以扩展学习impacket工具包的使用作为一个学习渗透从B站红队笔记开始的人,春秋云镜的靶场很多的使用工具让人有点略微不适应。
【内网渗透】春秋云镜 Tsclient WP
Sapphire037的博客
05-15 1107
mssql连接和攻击、windows提权、令牌窃取、镜像劫持。
TPM2:TSClient LEGACY软件包管理器(TPM)的版本2-TSClient LEGACY ThinClient操作系统的软件包管理器的第二版本完全用C ++编写。 它使用GNU Tar,zlib,TinyXML2和SQLite作为软件包数据库
02-04
TPM2,全称为TSClient LEGACY的软件包管理器的第二版本,是专为TSClient LEGACY ThinClient操作系统设计的一个高效且强大的工具。这个软件包管理器是完全使用C++编程语言编写的,体现了C++在系统级编程中的应用优势...
TS Client-开源
05-12
而"TSclient"文件可能代表了TS Client应用程序的可执行文件或者安装包,用户可以通过运行这个文件来启动和使用该客户端程序。 在实际使用TS Client时,用户可以通过界面输入或导入客户信息,系统将自动进行分类和...
tsclient:寒意打字稿客户端
04-14
tsclient 安装 yarn add @getchill.app/tsclient 用法 import { Credentials , rpcService , RPCService , certPath , RPCError } from '@getchill.app/tsclient' export const creds : Credentials = new ...
i春秋云镜Tsclient
weixin_65550121的博客
12-15 1016
因为它在远程连接我们的时候把磁盘也挂载过来了,这里由于我们不能让对面那台主机重启所以我们不能通过写启动项的方式让他上线但我们在对方的C盘发现了一个用户以及提示的信息接下来就是进一步的操作这里先把权限切换到John用户。因为对方远程登录的是这个桌面这里切忌一定不要远程上去你一旦远程上去 对方的连接就会断开 他的C盘也会断开所以你收集不到他的磁盘信息了迁移到John的进程上去。我们可以发现这里面都是windows的机器,我们先提权。我们发现是权限是mssql权限,所以我们需要提权。
WP-春秋云境-Tsclient专业徽章通关指南-flag01
qq_45234543的博客
01-04 816
Wp-春秋云镜Tsclient专业徽章Flag01
Ichunqiu云境 —— Tsclient Writeup
WUfagg的博客
12-12 760
MSSQL,Privilege Escalation,Kerberos,域渗透,RDP
春秋云镜靶场Initial-WriteUP 专业徽章手把手教学
qq_45234543的博客
11-17 3742
春秋云镜靶场Initial-WP,专业徽章,完整flag获取教程
春秋云境系列靶场记录(合集)-不再更新
一只爱吃橙子的羊
11-29 6560
春秋云境系列靶场记录合集,不更新了哈……
春秋云境.com】网络安全之行-兴趣是起点,实战是归宿
ichunqiu2018的博客
03-16 659
春秋云境.com】访谈:网络安全之行-兴趣是起点,实战是归宿! 让我们一起走进无间计划一血获得者GCOW安全团队小离的实战世界~
春秋云镜-【仿真场景】Time-writeup
渗透测试研究中心
03-07 1166
说明Time是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。技术Neo4j、Kerberos、Privilege Elevation、域渗透第一个flag外网IP信息收集start infoscan (ic...
html css js网页设计
最新发布
07-12
HTML、CSS和JavaScript是构建网页和网站的基本技术,它们共同工作来创建和设计用户界面。下面是关于这三种技术的详细介绍: ### HTML (HyperText Markup Language) - **定义**:HTML是构建网页内容的标准标记语言。 - **作用**:用于创建网页的结构和内容,如段落、链接、图片、表格等。 - **语法**:使用标签(如 `<p>`, `<div>`, `<a>`, `<img>` 等)来定义网页元素。 ### CSS (Cascading Style Sheets) - **定义**:CSS是一种样式表语言,用于描述HTML文档的呈现方式。 - **作用**:用于设置网页的布局、颜色、字体和其他视觉元素。 - **语法**:通过选择器(如 `p`, `.myclass`, `#myid` 等)应用样式规则。 ### JavaScript - **定义**:JavaScript是一种脚本语言,通常用于网页上实现交互功能。 - **作用**:允许网页与用户进行交互,如响应用户操作、动态更新内容、动画效果等。 - **语法**:Java
\\TSCLIENT\D\ZP20.XLS,是什么意思
03-20
很抱歉,根据你提供的信息,我无法准确回答你关于"\\TSCLIENT\D\ZP20.XLS"的问题。"\\TSCLIENT\D\ZP20.XLS"看起来像是一个文件路径,但我无法确定具体是什么文件或者它的含义。如果你能提供更多的背景信息或者问题的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渗透测试中心

各位师傅,觉得文章不错可支持下

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值