Target external IP39.98.34.149
39.98.34.149
Nmap results
关注80端口的http服务,目录爆破(省略)找到 /admin![[b481ac2a048677f4f6ad2074a1a3407 1.png]]
使用弱口令登录进入后台,去到模板页面,编辑header.html,添加php一句话\
用户名: admin, 密码:
123456
\
命令执行
弹shell快速过一下:
flag01diff --line-format=%L /dev/null /home/flag/flag01.txt
diff --line-format=%L /dev/null /home/flag/flag01.txt
flag01 里面有提示用户名WIN19\Adrian
WIN19\Adrian
挂代理扫 445\获取到三个机器信息
172.22.4.19 fileserver.xiaorang.lab 172.22.4.7 DC01.xiaorang.lab 172.22.4.45 win19.xiaorang.lab
用 Flag01提示的用户名 + rockyou.txt 爆破,爆破出有效凭据 (提示密码过期)\win19\Adrian babygirl1
win19\Adrian babygirl1
xfreerdp 远程登录上 win19 然后改密码
前言:当前机器除了机器账户外,完全没域凭据,需要提权到system获取机器账户
桌面有提示
关注这一栏,当前用户Adrian对该注册表有完全控制权限
提权msfvenom生成服务马,执行 sam.bat\sam.bat\修改注册表并且启用服务,然后桌面就会获取到 sam,security,system
获取 Administrator + 机器账户 凭据
Administrator:500:aad3b435b51404eeaad3b435b51404ee:ba21c629d9fd56aff10c3e826323e6ab::: $MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:917234367460f3f2817aa4439f97e636\
flag02
使用机器账户收集域信息
分析 Bloodhound,发现 WIN19 + DC01都是非约束委派
使用Administrator登录进入 WIN19,部署rubeus
使用DFSCoerce强制触发回连到win19并且获取到DC01的TGT
Base64的tgt 解码存为 DC01.kirbi
DCSync 获取域管凭据
psexec - flag04
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)