Author:小离-xiaoli
前言:
扫描结果:
入口点1 - SQL注入 (Linux):
入口点2 - Pboot-CMS (Linux):
前言:
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0
直接上payload
PrivESC to root with CVE-2022-2588(这里用不了pwnkit,pkexec玄学)
入口IP 172.23.4.32
Flag 1
172.23.4.51 的Desktop 有个Usera的凭据
1 2 | username: usera@pentest.com password:Admin3gv83 |
挂个代理,CME扫一扫
这里忘记截图了,usera对4.12能RDP,RDP上去就可以了
横向上去后,发现C:\users\usera\目录下有.ssh目录,里面有一个私钥(私钥没截到图),known_hosts看到有个IP 172.23.4.19
Flag 3
使用在172.23.4.12获取到的私钥登录进入172.23.4.19,回到了上面入口点1的web服务器,获取到root权限
Flag 4
前言:
使用凭据usera扫描一下172.24.7.0/24,调用petitpotam
这里IP和主机名有点乱,我们备注一下
1 2 3 4 5 | 172.24 . 7.5 DCadmin.pen.me (当前不在我们的范围内) 172.24 . 7.48 IZAYSXE6VCUHB4Z.pentest.me (在范围内,未拿下) 172.24 . 7.16 IZMN9U6ZO3VTRNZ.pentest.me (在范围内,已经拿下) 172.24 . 7.3 DC.pentest.me (在范围内,未拿下) 172.24 . 7.43 IZMN9U6ZO3VTRPZ.pentest.me (在范围内,未拿下) |
扫一扫webclient服务,确定172.24.7.48能打下了
难点在于你现在处于第二层网段,也好解决
1 | 172.24 . 7.16 : 80 (双网卡,通 172.23 . 4.0 / 24 ) - - - forward - - - 172.23 . 4.19 : 81 (SSH) - - - forward - - - localhost: 79 - - - forward - - - kali: 8001 |
172.23.4.19
172.24.7.16(也是IP 172.23.4.12)
启用ntlmrelayx.py,这里的escalate-user写的是172.24.7.16的主机名,截图是已经用petitpotam触发回连了,可以看到是已经完成了rbcd攻击了
petitpotam触发webclient实现中继
Flag 5
域控装了ADCS(直接SMB看域控共享就懂了)
提示ESC8
但是,经过复杂的操作 (停445+端口转发),却和我说ADCS关了ntlm认证
后面实在找不到东西了,直接CVE-2022-26923冲死,使用一个有效域凭据(普通权限)创建机器账户
CVE-2022-26923生成一张域控的证书
还原NTLM出来(这里忘记截图,只能用帮助文档了)
Dcsync
远程上172.24.7.3就能获得Flag 6了,这里忘记截图了
然后就顺便扫一扫看看有没有其他网卡
前言:
DCadmin 这台机器也是双网卡(172.24.7.5 和 172.25.12.7),不知道为什么上面的探测没扫出来
到这里,我们更新一下笔记
1 2 3 4 5 6 7 8 9 10 11 | pen.me 172.25 . 12.7 ( 172.24 . 7.5 ) DCadmin.pen.me (在范围内,还没拿下) 172.25 . 12.19 IZ1TUCEKFDPCEMZ.pen.me (在范围内,还没拿下) 172.25 . 12.29 IZ88QYK8Y8Y3VXZ.pen.me (在范围内,还没拿下) pentest.me 172.25 . 12.9 ( 172.24 . 7.3 ) DC.pentest.me (在范围内,已经拿下) 172.24 . 7.48 IZAYSXE6VCUHB4Z.pentest.me (在范围内,已经拿下) 172.24 . 7.16 IZMN9U6ZO3VTRNZ.pentest.me (在范围内,已经拿下) 172.24 . 7.3 DC.pentest.me (在范围内,已经拿下) 172.24 . 7.43 IZMN9U6ZO3VTRPZ.pentest.me (在范围内,有管理员凭据,还没登录上去) |
Bloodhound看看是什么关系,可以看到,Administrator\@pentest.me 是 dcadmin.pen.me的管理员
这里也是有些奇怪,作者是可以直接横向过去的
干脆就RBCD了,我也不纠结 (RBCD过程省略)
Flag 7
DCSync过程略
看看这台机器的SPN,就知道172.25.12.19上面跑着Exchange了
在域内你可以快速过滤homeMDB这个attribute,就知道用户有没有登录过邮服了,以下这个Exchange用户是我们要看的
使用Exchange用户登录进入OWA,就可以获取到Flag 10 了
1 2 | confluence: 172.24 . 7.27 : 8090 gitlab: 172.24 . 7.23 |
无间实验室人员名单.xlsx
在dc.pentest.me批量跑一下ldap,发现都是有效凭据,这里随便一个域用户都能登录进入gitlab,但是都没项目(登录gitlab的图忘记截图了)
可以用在ldap筛选出有效用户(毕竟是ldap认证,当然你用kerbrute枚举也可以),然后配合利用git命令批量枚举,你能发现用户luizhuo有一个私人项目叫 Financial system-demo
有一个SQL Server的凭据,但是IP是127.0.0.1
找找commit历史,发现一个ip 172.26.8.16
凭据记录
1 2 3 | IP: 172.26 . 8.16 username: sa password: sqlserver_2022 |
\
1 2 3 | IP: 172.26 . 8.16 username: sa password: sqlserver_2022 |
在这台机器上搞个代理,直接连接,然后一把梭(这里用的项目是https://github.com/Ridter/PySQLTools)
服务账户权限
CLR提权
直接改个管理员密码
Flag 12