内网渗透-春秋云镜篇之Flarum

原文由作者授权发表，首发在：先知社区

https://xz.aliyun.com/t/13499

外网打点

信息搜集

Fscan扫描

漏洞探测

题目描述检测口令安全性，那应该是存在弱口令，所以我们先找下管理员用户，然后进行爆破，我们这里可以发现首页的这个邮箱

明显就是管理员账号，然后导入密码本到bp中进行爆破

得到密码1chris

而后进入后台

发现是Flarum主题，搜索相关漏洞发现https://www.leavesongs.com/PENETRATION/flarum-rce-tour.html

而后按部就班即可

漏洞利用

借助phpggc工具生成反弹Shell语句

点击外观->自定义样式->编辑自定义CSS

编辑内容如下

而后访问URL/assets/forum.css可以发现我们的恶意Payload已放入其中

接下来进行包含此CSS文件，具体内容如下

在监听处可收到Shell

提权

权限为www-data，无法访问root目录，因此需要提权。

接下来找了找具有SUID权限的命令，没有什么发现，因此上传辅助提权工具linpeas_linux_amd64，而后发现多个可能存在的提权漏洞

下载相关Exp进行尝试利用

emmm，失败了，后来参考linux提权文章https://www.cnblogs.com/f-carey/p/16026088.html

发现openssl可以利用，借此读取Flag

内网横向

信息搜集

Fscan扫描

同时发现一个Config文件，里面有数据库账密

代理搭建

数据库连接

在我们登录网页后台时就出现用户名，且以xiaorang.lab结尾，说明可能有一部分是域用户

但是不太容易导出，我们正好看到了数据库配置文件

因此连接navicat导出整列

找到User表

导出数据

AS—REP Roasting

使用GetNPUsers查找不需要Kerberos预身份验证的用户

接下来用hashcat离线爆破两组用户，可得到一组用户密码

导入BloodHound

发现ZHANGXIN用户属于ACCOUNT OPERATORS组，对非域控机器有GenericAll权限，所以可以通过ZHANGXIN用户配置RBCD，然后通过DcSync获取域控Hash。

RDP登录

接下来探测几个内网主机3389存活情况，将wangyun用户登录进行进一步信息搜集，通过Fscan扫描发现172.22.60.15主机3389端口开放

RDP连接，发现Xshell7软件

发现zhangxin用户，但密码不可读

Xshell密码读取

参考https://blog.csdn.net/qq_41874930/article/details/113666259

在SSH.xsh中可以发现Password字段

而后用wmic useraccount get name,sid获取SID

而后运行脚本即可获取密码。

不过发现一个更方便的工具

https://github.com/JDArmy/SharpXDecrypt

利用Acount Operators组用户拿下主机

参考

https://xz.aliyun.com/t/11555?time__1311=mqmx0DBD2Gqiw40vofDy7D9m6GOCDcGiG7oD&alichlgref=https%3A%2F%2Fxz.aliyun.com%2Fu%2F50470#toc-18

使用zhangxin登录主机后打开Powershell，执行如下命令：

1、导入Ps脚本，创建机器用户test3

2、查询机器用户SID值

3、修改FileServer的修改msds-allowedtoactonbehalfofotheridentity的值

接下来就到了申请ST的步骤了，不过在申请之前，我们需要先配置下映射关系

而后申请ST

导入，而后无密码登录即可

整体过程也可以借助Impacket套件实现

信息搜集

获取主机权限后，抓一下FILESERVER的哈希

具体如下

获取FILESERVER$用户哈希为951d8a9265dfb652f42e5c8c497d70dc，接下来凭借机器用户哈希去获取域控哈希

DcSync攻击

借助secretsdump.py工具导出域控哈希

获取域控哈希c3cfdc08527ec4ab6aa3e630e79d349b

横向传递

借助wmiexec.py工具横向

还有一个主机PC1也是同理，改下IP即可