Target external ip47.92.82.196
47.92.82.196
nmap
MSSQL 弱口令爆破,爆破出有效凭据,权限为服务账户权限(MSSQLSERVER)sa:1qaz!QAZ
sa:1qaz!QAZ
直接MSSQL shell(这里做完了忘记截图了..)
提权,这里直接获取Clsid暴力怼potato(前面几个clsid是用不了的)\修改GetClsid.ps1,添加执行potato\Potato和GetClsid.ps1\执行GetClsid.ps1\获取到有效clsid以及命令执行结果
导出SAM,SYSTEM,Security\解出凭据,用administrator + psexec 139横向(外网没有开445)就能获取到 flag01administrator 2caf35bb4c5059a3d50599844e2b9b1f
administrator 2caf35bb4c5059a3d50599844e2b9b1f
qwinsta和端口连接看到有机器rdp过来
这边使用administrator psexec后上msf(system权限),使用incognito模块,模拟至john(本人实测,只有msf的incognito能完成后续操作,f-secure lab等其他的模拟令牌工具没成功)
使用john的token执行 net use 看到 \\tsclient\C 共享
直接获取 \\tsclient\C 下面的 credential.txt,同时提示 hijack image (镜像劫持)xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#
xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#
CME 扫描 172.22.8.0/24,有三个机器提示密码过期了
测试一下 DC01 88端口是否开启(测是否域控),DC01为域控
smbpasswd.py 远程修改一下过期密码,改成111qqq...
ldapshell.py 验证,登录域成功
CME 枚举 RDP,显示能登录进入 172.22.8.46(用CME官方的RDP模块不会扫出有效RDP凭据,这边自己写了一个基于xfreerdp的CME模块)XiaoliChan/CrackMapExec-Extension
1
xiaorang.lab\WIN2016$ 4ba974f170ab0fe1a8a1eb0ed8f6fe1a
xiaorang.lab\WIN2016$
4ba974f170ab0fe1a8a1eb0ed8f6fe1a
观察 WIN2016$ 的组关系,发现处于 Domain Admins 组,直接使用 Dcsync 带走 DC01 (过程略)
约束委派(非常规)\Bloodhound收集域信息,分析,发现存在约束委派\使用 getST.py 进行约束委派攻击\带走 DC01