0x00 イントロ
- C2 や MSF などのツールから離れた OSCP 浸透スタイル
- 箱は難しくない
0x01 情報
- タグ: JDBC、Exchange、NTLM、強制認証、DCSync
0x02 偵察
- ターゲット外部 IP
39.98.179.149 - Nmapの結果
- ポート 8000 に直接注目してください。私はすでに 80 を超えていますが、直接渡すものは何もありません。
- Huaxia ERP には多くの抜け穴があり、エントリ ポイントは長い間停止していました。後で JDBC を見て、Google で直接検索した後、兄貴の記事を見つけました。Fastjson の上位バージョン - Bmth (bmth666.cn
) www .bmth666.cn/bmth_blog/2022/10/19/Fastjson%E9%AB%98%E7%89%88%E6%9C%AC%E7%9A%84%E5%A5%87%E6%8A% 80 %E6%B7%AB%E5%B7%A7/#%E8%93%9D%E5%B8%BD%E6%9D%AF2022%E5%86%B3%E8%B5%9B-%E8%B5 % 8C%E6%80%AA ) - ペイロードを構築する
- MySQL_Fake_Server を構成する
- 不正 + MySQL コネクタ JDBC デシリアライゼーションを組み合わせた最初の直接 RCE
- RCE直後にFlag01を取得
0x03 エントリ ポイント: 172.22.3.12
- SMB はイントラネット ホストをスキャンし、Exchange キーワード (EXC01) を確認し、アクセスを試行します。
- 交換用の172.22.3.9
- Proxylogon を直接強制終了し、システム許可を取得します
- flag02 (その後の認証情報の収集はスキップされる)
0x04 エントリ ポイント: 172.22.3.9
- 早送り 1: 交換機アカウントのハッシュが収集されました
- 早送り 2: ドメイン アカウントの資格情報も収集しました: Zhangtong
- 这边已经通过上面的操作收集到了exchange的机器账户hash,exchang的机器账户在域内对整个domain-object有writedacl权限,那我们直接使用dacledit.py给Zhangtong加dcsync权限(其实你也可以给自己加上dcsync)
- Dcsync,获取到域管和用户lumia的hashes
- 进入 172.22.3.2 获取flag04
0x05 Final:172.22.3.26
- 172.22.3.26上面的Lumia用户文件夹里面有个secret.zip
- 直接PTH Exchange导出Lumia mailbox里面的全部邮件以及附件
- item-0.eml,提示密码是手机号
- 刚好导出的附件里面有一个csv,里面全是手机号
- 常规操作,转换成pkzip格式的hash再跑字典,跑出密码
- flag03
0x06 Outro
- Exchange 后渗透那,作者本意是想让我们用 NTLM Relay去完成DCSync提权,获取Exchange SYSTEM权限后,触发webdav回连中继到ldap,这里的话就不尝试了,有兴趣的话可以看我上一篇文章 Spoofing
2.Lumia用户登录exchange那,作者也是想让你改掉Lumia用户的密码,但是我就懒了,直接PTH