春秋云镜-【仿真场景】Tsclient writeup

0x1 Info

  • Tag:
    MSSQL,Privilege Escalation,Kerberos,域渗透,RDP
    image

    靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU

0x2 Recon

  1. Target external ip47.92.82.196
  2. nmap
    image
  3. MSSQL 弱口令爆破,爆破出有效凭据,权限为服务账户权限(MSSQLSERVER)sa:1qaz!QAZ
    image

0x3 入口点 MSSQL - 172.22.8.18

  • 前言,该机器不在域内
  1. 直接MSSQL shell(这里做完了忘记截图了..)
    image
  2. 提权,这里直接获取Clsid暴力怼potato(前面几个clsid是用不了的)
    修改GetClsid.ps1,添加执行potato
    image

    Potato和GetClsid.ps1
    image

    执行GetClsid.ps1
    image

    获取到有效clsid以及命令执行结果
    image
  3. 导出SAM,SYSTEM,Security
    image

    解出凭据,用administrator + psexec 139横向(外网没有开445)就能获取到 flag01administrator 2caf35bb4c5059a3d50599844e2b9b1f
    image
  4. qwinsta和端口连接看到有机器rdp过来
    image
    image
  5. 这边使用administrator psexec后上msf(system权限),使用incognito模块,模拟至john(本人实测,只有msf的incognito能完成后续操作,f-secure lab等其他的模拟令牌工具没成功)
    image
  6. 使用john的token执行 net use 看到 \\tsclient\C 共享
    image
  7. 直接获取 \\tsclient\C 下面的 credential.txt,同时提示 hijack image (镜像劫持)xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#
    image
  • 快进,略过搭建代理过程
  1. CME 扫描 172.22.8.0/24,有三个机器提示密码过期了
    image
  2. 测试一下 DC01 88端口是否开启(测是否域控),DC01为域控
  3. smbpasswd.py 远程修改一下过期密码,改成111qqq...
    image
  4. ldapshell.py 验证,登录域成功
    image
  5. CME 枚举 RDP,显示能登录进入 172.22.8.46(用CME官方的RDP模块不会扫出有效RDP凭据,这边自己写了一个基于xfreerdp的CME模块)XiaoliChan/CrackMapExec-Extension
    image

0x4 域渗透 - 入口 - 172.22.8.46

  1. 登录进入,查看到 xiaorang.lab\Aldrich 不是这台机器的管理员,只是普通用户
  • 提权,两种方法
    Priv-ESC1:镜像劫持提权(常规)
    Get-ACL查看到任何用户都可以对注册表 "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" 进行写入,创建操作
    image

    创建一个劫持magnify.exe(放大镜)的注册表,执行CMD.exe
    image

    锁定用户
    image

    点击放大镜
    image

    提权至system
    image

    Priv-ESC2:krbrelayup提权
    域普通权限用户在域内机器,直接带走(非常规,推荐)
    image
    image
  1. 快进mimikatz,获取到当前机器的机器账户 win2016$
xiaorang.lab\WIN2016$ 4ba974f170ab0fe1a8a1eb0ed8f6fe1a

0x5 域渗透 - DC Takeover

  • 两种方法
  1. 观察 WIN2016$ 的组关系,发现处于 Domain Admins 组,直接使用 Dcsync 带走 DC01 (过程略)
    image
  2. 约束委派(非常规)
    Bloodhound收集域信息,分析,发现存在约束委派
    image

    使用 getST.py 进行约束委派攻击
    image

    带走 DC01
    image

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渗透测试中心

各位师傅,觉得文章不错可支持下

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值