Spring and Autumn Cloud Mirror-[Escenario de simulación] Informe de delegación

0x1 Información

Dirección del campo de tiro: https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU El entorno del campo de tiro desde la web hasta la intranet y el dominio está completo, y la idea de las preguntas es muy buena. Si te interesa, puedes ir a jugar

0x2 Recon

1. IP externa de destino39.98.34.149
2. resultados de Nmap
   
3. Concéntrese en el servicio http en el puerto 80, voladura de directorios (omitido) para encontrar /admin
   
4. Use una contraseña débil para iniciar sesión en segundo plano, vaya a la página de la plantilla, edite header.html, agregue una oración de php
   \

   用户名: admin, 密码：123456

1. ejecución de comandos
   

0x03 punto de entrada: 172.22.4.36

1. cáscara de acusación
   
   
   Un repaso rápido:
   • No hay nada especial en la máquina de entrada.
   • No se pudo escalar a la autoridad raíz (no es necesario escalar a la autoridad raíz)
   • stapbpf suid exploit falla
     al encontrar diff suid
     
2. bandera01diff --line-format=%L /dev/null /home/flag/flag01.txt
   
3. Hay un nombre de usuario rápido en flag01WIN19\Adrian
4. Hang agente de barrido 445
   
   
   Obtener información de tres máquinas

   172.22.4.19 servidor de archivos.xiaorang.lab
   172.22.4.7 DC01.xiaorang.lab
   172.22.4.45 win19.xiaorang.lab

5. Use el nombre de usuario solicitado por Flag01 + rockyou.txt para enviar y enviar credenciales válidas (indique que la contraseña ha caducado)win19\Adrian babygirl1
6. xfreerdp inicie sesión de forma remota en win19 y cambie la contraseña
   
   

0x04 Pwing WIN19 - 172.22.4.45

Prefacio: a excepción de la cuenta de la máquina, la máquina actual no tiene ninguna credencial de dominio y debe elevarse al sistema para obtener la cuenta de la máquina.

1. Hay avisos en el escritorio.
   
2. Concéntrese en esta columna, el usuario actual Adrian tiene control total sobre el registro
   
   
3. Escalar
   msfvenom para generar un caballo de servicio y ejecutar sam.bat
   
   
   sam bat
   
   
   Modifique el registro y habilite el servicio, luego el escritorio obtendrá sam, security, system
   
4. Obtener credenciales de cuenta de administrador + máquina

   Administrador:500:aad3b435b51404eeaad3b435b51404ee:ba21c629d9fd56aff10c3e826323e6ab:::
   $MÁQUINA.ACC: aad3b435b51404eeaad3b435b51404ee:917234367460f3f2817a a4439f97e636

5. bandera02
   
6. Recopile información de dominio usando cuentas de máquina
   

0x05 Adquisición de DC - 172.22.4.7

1. Analice Bloodhound y descubra que WIN19 + DC01 son ambos delegación sin restricciones
   
2. Use el Administrador para iniciar sesión en WIN19 e implementar rubeus
   
3. Use DFSCoerce para forzar el disparador para volver a conectarse a win19 y obtener el TGT de DC01
   
   
4. La decodificación tgt de Base64 se guarda como DC01.kirbi
   
5. DCSync obtiene las credenciales de administración del dominio
   
6. psexec - flag04
   

0x06 Adquisición del servidor de archivos - 172.22.4.19

1. psexec - flag03
   

0x07 otro

• Gracias a Master Alphabug por la pista (0x03 - 0x04), el hermano mayor ha terminado de escribir los puntos de entrada, solo lo sigo
• Gracias Maestro Nueve por su cooperación.

Enlace original: https://www.freebuf.com/articles/web/352151.html