2301_80148821的博客

然后，用impacket工具包中的GetNPUsers.py进行密码破解。这里只有上传到tmp目录下才能有权限执行。然后直接kali中登录，抓取flag就行。然后上传fscan和毒液进行代理和扫描。根据扫描结果，可以看到那个后台登录。尝试cve-2021-34371。尝试端口，发现7474有界面。然后，用大佬的脚本提权用户名。没开放80端口，网站看不到。然后代理到本机和kali上。直接抓包上sqlmap跑。得到很多密码和flag2。并且看到是Nei4j的。windows远程连接。用猕猴桃抓取hash。

通过certipy-ad创建一个机器账号Test2，并且设置DNS Host Name为域控的 XR-DC01.xiaorang.lab。然后，Schannel 将证书传递到 LDAPS, 修改 LDAP 配置 (例如配置 RBCD / DCSync), 进而获得域控权限。进入网站，发现是wordpress，这种一般都不会有啥直接漏洞，应该是插件漏洞，或者弱口令。爆破密码，弱口令admin，123456，之前lazysysadmin好像打过。然后申请证书模版，打了两次，不成功就继续打。

并且我们当前这个用户对这些文件可读可写，那么提权思路就有了，我们可以通过在这些sh脚本中写入一个修改root用户密码的命令，这样当我们通过ssh用户登录到inferno这个账号上的时候，我们这些motd的sh脚本就会被以root用户的权限执行，这时候我们写入的修改root用户密码的命令也会被执行，之后我们只需要切换到root用户即可完成提权。当我们通过ssh登录成功的时候，我们如果留意的话，我们会发现输出的那些欢迎信息和日期等等，如果这些输出以上信息的脚本是以root权限运行的。成功访问，成功连接。

找到了alice的笔记，意思是我喜欢这个公司，并且希望找到一个比bab好的伴侣。注册用户cat，观察url有url_id=,改为5，发现alice用户。看到my_secret进入目录。看到alice有可以执行php命令的root权限。find找到flag2。使用浏览器查看，使用xff伪造本地用户。sudo -l查看用户权限。使用php回调bash提权。所以发现130为目标靶机。将不可见的type删除。nmap扫描存活主机。然后向root进发。