[永久开源] vulntarget-b_打靶记录(下)

简介: [永久开源] vulntarget-b_打靶记录

link位置是base64编码的地址



然后正常访问到下载的木马文件



获取到之后直接就是root权限。在这里尝试了多次正向失败,关闭本地防火墙然后进行反弹shell:



使用监听:



反弹成功:



查看进程,当前机器使用了火绒:


寻找提权的方式,使用systeminfo命令,将结果复制到网站:


最终使用了CVE_2021_1732_win32k这个提权工具,多执行几次就能成功,我也是看作者这样做的:



查看网卡的配置,当前是存在域环境的,然后也存在第二块网卡,添加路由:



使用命令查找域控制器的IP,由于存在火绒,需要谨慎操作,不然session会断掉:



当前进程中,也是存在域用户的,存在域用户就可以使用域提权漏洞获取域控制器的权限:



使用mimikatzcreds_all命令抓取密码 ,但是没有明文密码。使用这个命令并未拦截:



由于是win10系统,微软在windows 2012 之后就打了补丁kb2871997,需要修改注册表抓取密码。第一条是开启,第二条是关闭:




reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /freg add HKLMS\YSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f

修改注册表之后,需要重启或者管理员重新登录才能抓取明文密码,这里可以使用脚本让其锁屏

lock.ps1

Function Lock-WorkStation {
$signature = @"
[DllImport("user32.dll", SetLastError = true)]
public static extern bool LockWorkStation();
"@
$LockWorkStation = Add-Type -memberDefinition $signature -name "Win32LockWorkStation" -namespace Win32Functions -passthru
$LockWorkStation::LockWorkStation() | Out-Null
}
Lock-WorkStation


这样就抓取到了明文密码:



对域控IP进行端口扫描,开放的88,445,135端口:



2.3 域提权 CVE-2021-42287/CVE-2021-42278


使用py脚本,填写"域/域用户:域密码",成功获取到域控机器的权限:



使用脚本开启3389,使用rdp协议进行连接:



关闭防火墙:



但是在这里连接失败



原因是由于域控机器开启了如下的功能,需要使用相同的机器才能进行远程访问:



上面的exp脚本也可以直接-dump导出当前的hash,我忘记截图了。然后使用将hash进行md5解密,得知密码:Admin@123

既然知道了密码,在win10机器上进行IPC连接,上传正向的后门到域控制器:


成功获取到域控制器的机器



如下就是所有的sessions


2.4 拓展

还可以使用procdump的方式导出lsass.exe,存放在当前文件的lsass.dmp


接着使用mimikatz进行密码读取


mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

相关文章
|
5月前
|
机器学习/深度学习 数据采集 人工智能
技术心得记录:对比学习(contrastivelearning)
技术心得记录:对比学习(contrastivelearning)
33 0
新增节添加ShellCode【滴水逆向三期46作业源码】
新增节添加ShellCode【滴水逆向三期46作业源码】
|
存储 缓存 前端开发
【Java项目】bitmap实现B站点赞超过500取消最早的点赞记录的实现思路
【Java项目】bitmap实现B站点赞超过500取消最早的点赞记录的实现思路
182 0
|
数据库
机房重构上下机时间记录问题
机房重构上下机时间记录问题
84 0
|
编译器
进程4GB空间简析,PE重定位表【滴水逆向三期50笔记+作业】
进程4GB空间简析,PE重定位表【滴水逆向三期50笔记+作业】
|
安全 Ubuntu 网络协议
【永久开源】vulntarget-c 打靶记录(上)
【永久开源】vulntarget-c 打靶记录
231 0
|
SQL 安全 Shell
[永久开源] vulntarget-b_打靶记录(上)
[永久开源] vulntarget-b_打靶记录
288 0
|
SQL Web App开发 安全
【永久开源】vulntarget-c 打靶记录(下)
【永久开源】vulntarget-c 打靶记录
228 0
|
安全 中间件 关系型数据库
vulntarget-i 打靶记录(上)
vulntarget-i 打靶记录
143 0
|
存储 安全 Shell
vulntarget-i 打靶记录(下)
vulntarget-i 打靶记录
136 0