Ichunqiu云境 - Delegation Writeup

简介: 1. Target external IP 39.98.34.1492. Nmap results

0x1 Info

0x2 Recon

  1. 1. Target external IP 39.98.34.149
  2. 2. Nmap results

3. 关注80端口的http服务,目录爆破(省略)找到 /admin

4. 使用弱口令登录进入后台,去到模板页面,编辑header.html,添加php一句话

用户名: admin, 密码:123456

5. 命令执行

0x03 入口点:172.22.4.36

  1. 1. 弹shell

  2. 快速过一下:
  • • 入口机器没特别的东西
  • • 没能提权到root权限(也不需要提权到root权限)
  • • stapbpf suid利用失败

找到diff suid

2. flag01 diff --line-format=%L /dev/null /home/flag/flag01.txt

3. flag01 里面有提示用户名 WIN19\Adrian

4. 挂代理扫 445

获取到三个机器信息

   172.22.4.19 fileserver.xiaorang.lab
   172.22.4.7 DC01.xiaorang.lab
   172.22.4.45 win19.xiaorang.lab

  1. 1. 用 Flag01提示的用户名 + rockyou.txt 爆破,爆破出有效凭据 (提示密码过期) win19\Adrian babygirl1
  2. 2. xfreerdp 远程登录上 win19 然后改密码

0x04 Pwing WIN19 - 172.22.4.45

前言:当前机器除了机器账户外,完全没域凭据,需要提权到system获取机器账户

  1. 1. 桌面有提示

 

2. 关注这一栏,当前用户Adrian对该注册表有完全控制权限

3. 提权 msfvenom生成服务马,执行 sam.bat

sam.bat

修改注册表并且启用服务,然后桌面就会获取到 sam,security,system

4. 获取 Administrator + 机器账户 凭据

   Administrator:500:aad3b435b51404eeaad3b435b51404ee:ba21c629d9fd56aff10c3e826323e6ab:::
   $MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:917234367460f3f2817aa4439f97e636

5. flag02

6. 使用机器账户收集域信息

0x05 DC takeover - 172.22.4.7

  1. 1. 分析 Bloodhound,发现 WIN19 + DC01都是非约束委派

2. 使用Administrator登录进入 WIN19,部署rubeus

3. 使用DFSCoerce强制触发回连到win19并且获取到DC01的TGT

4. Base64的tgt 解码存为 DC01.kirbi

5. DCSync 获取域管凭据

6. psexec - flag04

0x06 Fileserver takeover - 172.22.4.19

  1. 1. psexec - flag03

0x07 Outro

  • • 感谢Alphabug师傅的提示(0x03 - 0x04),大哥已经把入口点都打完了,我只是跟着进来而已
  • • 感谢九世师傅的合作
  • • Spoofing已经打完了,walkthrough也写完了,等1000奖励到手后新年释出,个人感觉Spoofing更好玩,出题的思路很妙


相关文章
|
SQL Web App开发 Oracle
Ichunqiu云境 —— Endless(无间计划) Writeup
两个入口点,一个入口点是pboot-cms,另外一个是SQL注入
|
Ubuntu 应用服务中间件 Shell
IChunQiu云境-Spoofing Writeup(一)
Tag: Tomcat,NTLM,WebClient,Coerce Authentication,noPac
|
安全 Java fastjson
Ichunqiu云境 —— Exchange Writeup
1. OSCP 渗透风格,脱离C2和MSF之类的工具 2. Box 难度不高
|
C语言
HDLBits(2)——Procedures(上)
HDLBits——Procedures 问题28 Always blocks(combinational) (Alwaysblock1) A bit of practice 问题29: Always blocks(clocked) (Alwaysblock2) Blocking vs. Non-Blocking Assignment A bit of practice 问题30: If statement(Always if) A bit of practice 问题31If statement latches(Always if2) 常见的错误来源:如何避免锁存。 问题32: Case st
187 0
HDLBits(2)——Procedures(上)
|
前端开发 JavaScript API
【墙裂推荐】Talking about hooks(上)
从React16.8开始,Hooks API正式被React支持,而就在最近,Vue作者尤雨溪翻译并发布了一篇自己的文章《Vue Function-based API RFC》,并在全文开头强调这是Vue 3.0最重要的RFC,并在文中提到 Function-based API 受 React Hooks 的启发,提供了一个全新的逻辑复用方案。
|
设计模式 前端开发 JavaScript
【墙裂推荐】Talking about hooks(下)
从React16.8开始,Hooks API正式被React支持,而就在最近,Vue作者尤雨溪翻译并发布了一篇自己的文章《Vue Function-based API RFC》,并在全文开头强调这是Vue 3.0最重要的RFC,并在文中提到 Function-based API 受 React Hooks 的启发,提供了一个全新的逻辑复用方案。
|
Shell PHP 数据安全/隐私保护
noxCTF部分writeup(欢迎吐槽QAQ)
前言 本文首发i春秋:https://bbs.ichunqiu.com/thread-46059-1-1.html 渣渣一枚,萌新一个,会划水,会喊六六(hhhhh) 补一下关于noxCTF中的部分解题思路,毕竟自己太渣(Qrz),有些题目还是做不出来(QAQ),有什么错误的地方,希望各位大佬指点...
1442 0
1013. Battle Over Cities (25)
//连通分量数量 - 1 //如何求连通分量: #include #include #include #include using namespace std; int e[1000][1000], n; bool ...
774 0
|
JSON JavaScript 前端开发