0x1 Información
Dirección del campo de tiro: https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU El entorno del campo de tiro desde la web hasta la intranet y el dominio está completo, y la idea de las preguntas es muy buena. Si te interesa, puedes ir a jugar
0x2 Recon
- IP externa de destino
39.98.34.149
- resultados de Nmap
- Concéntrese en el servicio http en el puerto 80, voladura de directorios (omitido) para encontrar /admin
- Use una contraseña débil para iniciar sesión en segundo plano, vaya a la página de la plantilla, edite header.html, agregue una oración de php
\用户名: admin, 密码:123456
- ejecución de comandos
0x03 punto de entrada: 172.22.4.36
- cáscara de acusación
Un repaso rápido:- No hay nada especial en la máquina de entrada.
- No se pudo escalar a la autoridad raíz (no es necesario escalar a la autoridad raíz)
- stapbpf suid exploit falla
al encontrar diff suid
- bandera01
diff --line-format=%L /dev/null /home/flag/flag01.txt
- Hay un nombre de usuario rápido en flag01
WIN19\Adrian
- Hang agente de barrido 445
Obtener información de tres máquinas172.22.4.19 servidor de archivos.xiaorang.lab
172.22.4.7 DC01.xiaorang.lab
172.22.4.45 win19.xiaorang.lab - Use el nombre de usuario solicitado por Flag01 + rockyou.txt para enviar y enviar credenciales válidas (indique que la contraseña ha caducado)
win19\Adrian babygirl1
- xfreerdp inicie sesión de forma remota en win19 y cambie la contraseña
0x04 Pwing WIN19 - 172.22.4.45
Prefacio: a excepción de la cuenta de la máquina, la máquina actual no tiene ninguna credencial de dominio y debe elevarse al sistema para obtener la cuenta de la máquina.
- Hay avisos en el escritorio.
- Concéntrese en esta columna, el usuario actual Adrian tiene control total sobre el registro
- Escalar
msfvenom para generar un caballo de servicio y ejecutar sam.bat
sam bat
Modifique el registro y habilite el servicio, luego el escritorio obtendrá sam, security, system - Obtener credenciales de cuenta de administrador + máquina
Administrador:500:aad3b435b51404eeaad3b435b51404ee:ba21c629d9fd56aff10c3e826323e6ab:::
$MÁQUINA.ACC: aad3b435b51404eeaad3b435b51404ee:917234367460f3f2817a a4439f97e636 - bandera02
- Recopile información de dominio usando cuentas de máquina
0x05 Adquisición de DC - 172.22.4.7
- Analice Bloodhound y descubra que WIN19 + DC01 son ambos delegación sin restricciones
- Use el Administrador para iniciar sesión en WIN19 e implementar rubeus
- Use DFSCoerce para forzar el disparador para volver a conectarse a win19 y obtener el TGT de DC01
- La decodificación tgt de Base64 se guarda como DC01.kirbi
- DCSync obtiene las credenciales de administración del dominio
- psexec - flag04
0x06 Adquisición del servidor de archivos - 172.22.4.19
- psexec - flag03
0x07 otro
- Gracias a Master Alphabug por la pista (0x03 - 0x04), el hermano mayor ha terminado de escribir los puntos de entrada, solo lo sigo
- Gracias Maestro Nueve por su cooperación.
Enlace original: https://www.freebuf.com/articles/web/352151.html