发布于3月7日3月7日 Members 0x1 Info靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU 从web到内网再到域的靶场环境都全,且出题的思路很好,感兴趣的可以去玩玩0x2 ReconTarget external IP39.98.34.149Nmap results关注80端口的http服务,目录爆破(省略)找到 /admin使用弱口令登录进入后台,去到模板页面,编辑header.html,添加php一句话\用户名: admin, 密码:123456 命令执行0x03 入口点:172.22.4.36弹shell快速过一下:入口机器没特别的东西没能提权到root权限(也不需要提权到root权限)stapbpf suid利用失败找到diff suidflag01diff --line-format=%L /dev/null /home/flag/flag01.txtflag01 里面有提示用户名WIN19\Adrian挂代理扫 445获取到三个机器信息172.22.4.19 fileserver.xiaorang.lab172.22.4.7 DC01.xiaorang.lab172.22.4.45 win19.xiaorang.lab用 Flag01提示的用户名 + rockyou.txt 爆破,爆破出有效凭据 (提示密码过期)win19\Adrian babygirl1xfreerdp 远程登录上 win19 然后改密码0x04 Pwing WIN19 - 172.22.4.45前言:当前机器除了机器账户外,完全没域凭据,需要提权到system获取机器账户桌面有提示关注这一栏,当前用户Adrian对该注册表有完全控制权限提权msfvenom生成服务马,执行 sam.batsam.bat修改注册表并且启用服务,然后桌面就会获取到 sam,security,system获取 Administrator + 机器账户 凭据Administrator:500:aad3b435b51404eeaad3b435b51404ee:ba21c629d9fd56aff10c3e826323e6ab:::$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:917234367460f3f2817aa4439f97e636flag02使用机器账户收集域信息0x05 DC takeover - 172.22.4.7分析 Bloodhound,发现 WIN19 + DC01都是非约束委派使用Administrator登录进入 WIN19,部署rubeus使用DFSCoerce强制触发回连到win19并且获取到DC01的TGTBase64的tgt 解码存为 DC01.kirbiDCSync 获取域管凭据psexec - flag040x06 Fileserver takeover - 172.22.4.19psexec - flag030x07 Outro感谢Alphabug师傅的提示(0x03 - 0x04),大哥已经把入口点都打完了,我只是跟着进来而已感谢九世师傅的合作原文链接:https://www.freebuf.com/articles/web/352151.html
