原文由作者授权发表,首发在:先知社区
https://xz.aliyun.com/t/13499
Fscan扫描
题目描述检测口令安全性,那应该是存在弱口令,所以我们先找下管理员用户,然后进行爆破,我们这里可以发现首页的这个邮箱
明显就是管理员账号,然后导入密码本到bp中进行爆破
得到密码1chris
而后进入后台
发现是Flarum
主题,搜索相关漏洞发现https://www.leavesongs.com/PENETRATION/flarum-rce-tour.html
而后按部就班即可
借助phpggc
工具生成反弹Shell语句
点击外观->自定义样式->编辑自定义CSS
编辑内容如下
而后访问URL/assets/forum.css
可以发现我们的恶意Payload已放入其中
接下来进行包含此CSS文件,具体内容如下
在监听处可收到Shell
权限为www-data,无法访问root目录,因此需要提权。
接下来找了找具有SUID权限的命令,没有什么发现,因此上传辅助提权工具linpeas_linux_amd64
,而后发现多个可能存在的提权漏洞
下载相关Exp进行尝试利用
emmm,失败了,后来参考linux提权文章https://www.cnblogs.com/f-carey/p/16026088.html
发现openssl可以利用,借此读取Flag
Fscan扫描
同时发现一个Config文件,里面有数据库账密
在我们登录网页后台时就出现用户名,且以xiaorang.lab
结尾,说明可能有一部分是域用户
但是不太容易导出,我们正好看到了数据库配置文件
因此连接navicat导出整列
找到User表
导出数据
使用GetNPUsers
查找不需要Kerberos预身份验证的用户
接下来用hashcat离线爆破两组用户,可得到一组用户密码
导入BloodHound
发现ZHANGXIN
用户属于ACCOUNT OPERATORS
组,对非域控机器有GenericAll
权限,所以可以通过ZHANGXIN
用户配置RBCD,然后通过DcSync获取域控Hash。
接下来探测几个内网主机3389存活情况,将wangyun
用户登录进行进一步信息搜集,通过Fscan
扫描发现172.22.60.15
主机3389端口开放
RDP连接,发现Xshell7软件
发现zhangxin
用户,但密码不可读
参考https://blog.csdn.net/qq_41874930/article/details/113666259
在SSH.xsh
中可以发现Password字段
而后用wmic useraccount get name,sid
获取SID
而后运行脚本即可获取密码。
不过发现一个更方便的工具
https://github.com/JDArmy/SharpXDecrypt
参考
https://xz.aliyun.com/t/11555?time__1311=mqmx0DBD2Gqiw40vofDy7D9m6GOCDcGiG7oD&alichlgref=https%3A%2F%2Fxz.aliyun.com%2Fu%2F50470#toc-18
使用zhangxin
登录主机后打开Powershell
,执行如下命令:
1、导入Ps脚本,创建机器用户test3
2、查询机器用户SID值
3、修改FileServer
的修改msds-allowedtoactonbehalfofotheridentity
的值
接下来就到了申请ST的步骤了,不过在申请之前,我们需要先配置下映射关系
而后申请ST
导入,而后无密码登录即可
整体过程也可以借助Impacket
套件实现
获取主机权限后,抓一下FILESERVER
的哈希
具体如下
获取FILESERVER$
用户哈希为951d8a9265dfb652f42e5c8c497d70dc
,接下来凭借机器用户哈希去获取域控哈希
借助secretsdump.py
工具导出域控哈希
获取域控哈希c3cfdc08527ec4ab6aa3e630e79d349b
借助wmiexec.py
工具横向
还有一个主机PC1
也是同理,改下IP即可