ichunqiu云境 - Delegation Writeup

原创 已于 2022-12-11 00:27:40 修改 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络 #网络安全

于 2022-12-10 21:43:47 首次发布
本文记录了一次渗透测试全过程,从初始侦察、获取访问权限、横向移动到最终控制域控制器。利用弱口令、注册表提权和服务马等多种手段,成功获取了目标系统的敏感信息。

0x1 Info

在这里插入图片描述
靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU

0x2 Recon

  1. Target external IP
    39.98.34.149

  2. Nmap results
    在这里插入图片描述

  3. 关注80端口的http服务,目录爆破(省略)找到 /admin
    在这里插入图片描述

  4. 使用弱口令登录进入后台,去到模板页面,编辑header.html,添加php一句话
    \

    用户名: admin, 密码:123456


![在这里插入图片描述
]

  1. 命令执行
    在这里插入图片描述

0x03 入口点:172.22.4.36

  1. 弹shell
    在这里插入图片描述

快速过一下:
- 入口机器没特别的东西
- 没能提权到root权限(也不需要提权到root权限)
- stapbpf suid利用失败

找到diff suid
在这里插入图片描述

  1. flag01
    diff --line-format=%L /dev/null /home/flag/flag01.txt
    在这里插入图片描述

  2. flag01 里面有提示用户名
    WIN19\Adrian

  3. 挂代理扫 445
    在这里插入图片描述


获取到三个机器信息

172.22.4.19 fileserver.xiaorang.lab
172.22.4.7 DC01.xiaorang.lab
172.22.4.45 win19.xiaorang.lab

  1. 用 Flag01提示的用户名 + rockyou.txt 爆破,爆破出有效凭据 (提示密码过期)

    win19\Adrian babygirl1

  2. xfreerdp 远程登录上 win19 然后改密码
    在这里插入图片描述

在这里插入图片描述

0x04 Pwing WIN19 - 172.22.4.45

前言:当前机器除了机器账户外,完全没域凭据,需要提权到system获取机器账户

  1. 桌面有提示
    ![[Pasted image 20221208171414.png]]

  2. 关注这一栏,当前用户Adrian对该注册表有完全控制权限
    在这里插入图片描述

在这里插入图片描述

  1. 提权
    msfvenom生成服务马,执行 sam.bat
    在这里插入图片描述


sam.bat
在这里插入图片描述


修改注册表并且启用服务,然后桌面就会获取到 sam,security,system
在这里插入图片描述

  1. 获取 Administrator + 机器账户 凭据

    Administrator:500:aad3b435b51404eeaad3b435b51404ee:ba21c629d9fd56aff10c3e826323e6ab:::
    $MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:917234367460f3f2817aa4439f97e636

    在这里插入图片描述

  2. flag02
    在这里插入图片描述

  3. 使用机器账户收集域信息
    在这里插入图片描述

0x05 DC takeover - 172.22.4.7

  1. 分析 Bloodhound,发现 WIN19 + DC01都是非约束委派
    在这里插入图片描述

  2. 使用Administrator登录进入 WIN19,部署rubeus
    在这里插入图片描述

  3. 使用DFSCoerce强制触发回连到win19并且获取到DC01的TGT
    在这里插入图片描述

在这里插入图片描述

  1. Base64的tgt 解码存为 DC01.kirbi
    在这里插入图片描述

  2. DCSync 获取域管凭据
    在这里插入图片描述

  3. psexec - flag04
    在这里插入图片描述

0x06 Fileserver takeover - 172.22.4.19

  1. psexec - flag03
    在这里插入图片描述

0x07 Outro

  • 感谢Alphabug师傅的提示(0x03 - 0x04),大哥已经把入口点都打完了,我只是跟着进来而已
  • 感谢九世师傅的合作
  • Spoofing已经打完了,walkthrough也写完了,等1000奖励到手后新年释出,个人感觉Spoofing更好玩,出题的思路很妙
春秋-【仿真场景】Delegation writeup
渗透测试研究中心
03-07 898
0x1 Info靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU 从web到内网再到域的靶场环都全,且出题的思路很好,感兴趣的可以去玩玩0x2 ReconTarget external IP39.98.34.149Nmap results关注80端口的http服务,目录爆破(省略)找到 /admin使用弱口令登录进...
春秋-Delegation-Writeup
qq_35607078的博客
08-14 1300
春秋-Delegation-Writeup
[春秋] Delegation仿真场景
最新发布
pwfortune的博客
05-11 1379
Delegation是一套难度为中等的靶场环,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环核心认证机制的理解,以及掌握域环渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。diff提权rdp密码爆破注册表提权-服务配置(ImagePath)DFSCoerce强制域认证+非约束性委派。
春秋 Delegation WP
m0_62466350的博客
01-13 1259
本文首发作者博客园https://www.cnblogs.com/fdxsec/p/17962704Delegation是一套难度为中等的靶场环,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环核心认证机制的理解,以及掌握域环渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
春秋Delegation-WP【一遍过】
weixin_63576152的博客
10-14 1180
这个靶场打了出乎意料的久。1.外围打点总是有问题,一直不回显ok,最后靠复制大佬的命令才能正常弹shell;2.fscan在蚁剑的shell里不显示结果(frp也不显示结果,但是是运行了的),还好可以弹shell到vps上,vps上可以正常显示结果;3.植入木马部分,powershell修改注册表是无效的,cmd才有用;4.各种上传的工具需要用管理员权限打开才能正常使用,SharpHound需要用猕猴桃弹出的域用户终端才能正常使用。
event-delegation:浏览器DOM事件的事件委托。 灵活,跨浏览器兼容且以打字稿为重点
04-12
事件委托 浏览器DOM事件的事件委托。 灵活,跨浏览器兼容且以Typescript为重点。 快速链接 安装 CDN ...import EventDelegation from '@jjwesterkamp/event-delegation' EventDelegation命名空间对象
my-delegation-poker-源码.rar
10-10
【标题】"my-delegation-poker-源码.rar" 提供的是一个名为 "my-delegation-poker" 的项目源代码,通常这代表了一个用于进行委派扑克(Delegation Poker)的游戏或工具。委派扑克是一种敏捷开发中的管理工具,帮助...
terraform-dns-zone-delegation:用于委托DNS区域(特别是DNS区域)的Terraform模块
04-01
以下是使用`terraform-dns-zone-delegation`模块进行DNS区域委托的一些关键知识点: 1. **Terraform模块**:Terraform模块是一种组织代码的方式,可以重复使用并抽象出复杂配置。在这个案例中,模块专门处理DNS区域...
authorization-delegation-schemas-1.0.7.jar
03-11
官方版本,亲测可用
【内网渗透】最保姆级的春秋Delegation打靶笔记
uuzeray的博客
09-02 1337
结合提示WIN19\Adrian,去打172.22.4.45 ,密码喷洒得到babygirl1这个过期的密码。服务的注册表项进行广泛的修改,包括更改配置、删除和创建新的配置项等。访问./admin后弱口令admin/123456登录后台。再利用强认证漏洞强制DC访问WIN19,拿到其TGT票据。蚁剑上传fscan和frp,扫内网,搭隧道。创建一个administrator权限用户。打administrato的pth。给到hint,明显是一个域用户。找到一个风险文件,大意是可以对。直接读flag2没有权限。
春秋-【仿真场景】Initial writeup
渗透测试研究中心
03-07 1475
开启靶机后是一个带着 ThinkPHP icon 的登陆界面,直接测试一下存在 5.0.23 RCE打一下,PHP-7.4.3 的环,看一下 disable_functionspcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifco...
春秋-【仿真场景】Unauthorized writeup
渗透测试研究中心
03-07 1097
说明Unauthorized是一套难度为中等的靶场环,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环核心认证机制的理解,以及掌握域环渗透中一些有趣的技术要点。该靶场共有3个flag,分布于不同的靶机。技术FTP、Privilege Elevation、AD CS、Kerberos、域渗透第一个flagdocker 未授权通过外网...
春秋镜靶场Initial-WriteUP 专业徽章手把手教学
qq_45234543的博客
11-17 5073
春秋镜靶场Initial-WP,专业徽章,完整flag获取教程
【原创】Ichunqiu —— Endless(无间计划) Writeup
WUfagg的博客
03-21 1371
Author:小离-xiaoli。
赏金猎人:IChunQiu-Spoofing Writeup
WUfagg的博客
01-13 840
一次从内网到域的靶场文件
【i春秋 CTF大本营 > 竞赛训练营 > CTF训练】—— Writeup 题解 (按答对人数排序)
algae
08-05 911
待补充整理ing
春秋-【仿真场景】Time-writeup
渗透测试研究中心
03-07 1788
说明Time是一套难度为中等的靶场环,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环核心认证机制的理解,以及掌握域环渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。技术Neo4j、Kerberos、Privilege Elevation、域渗透第一个flag外网IP信息收集start infoscan (ic...
春秋—Initial
龙狼刺的博客
07-15 2670
Initial是一套难度为简单的靶场环,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。在DCSync技术没有出现之前,攻击者要想拿到域内用户的hash,就只能在域控制器上运行 Mimikatz 或 Invoke-Mimikatz去抓取密码hash,但是在2015 年 8 月份, Mimkatz新增了一个主要功能叫"DCSync",使用这项技术可以有效地 “模拟” 域控制器并从目标域控上请求域内用户密码hash。
春秋-Initial-Writeup
qq_35607078的博客
07-11 1856
春秋运镜-Initial-Writeup
深入理解Java Event-Delegation Model
"本文将深入剖析Java的Event-Delegation Model,探讨事件的来源和分发流程,适用于有一定Java事件模型基础的读者。文章将简要介绍事件委派模型,并专注于事件类别和事件处理的基本概念。" 在Java编程中,事件处理是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值