faclon666的博客

文章摘要：攻击者通过LDAP枚举域用户，发现未开启Kerberos预认证的账户，实施AS-REPRoasting攻击获取svc用户hash并爆破密码。随后利用evil-winrm连接，使用SharpHound收集域信息，分析发现高权限组ExchangeWindowsPermissionsgroup，添加用户并授予DCSync权限。最终通过DCSync攻击获取所有用户hash，以管理员身份登录。攻击过程包括信息收集（88端口GetNPUsers.py枚举）、边界突破（爆破hash连接）和提权（分析域结构获取D

（这里要提一嘴，我同时在目录遍历，but没有可用的路径）anyway，拿到296640a3b825115a47b68fc44501c828的密码。是可以连接，但是看看passwd文件，这个用户用的是rbash（超级阉割版）所以22端口能有啥漏洞，先考虑80端口，看看zip文件是个啥。（其实这里疏忽了，我把整个文件拿去爆破了，哈哈哈哈哈哈哈）复现第一个要红框的东西，谁知道有没有，直接尝试第二个。这不就手拿把掐😼，跟我念 so easy！不是还有个22端口，拿去连接啊~😼。如图，不赘述，so easy。

Linux服务器所部署的CMS- wordpress框架的插件—AdRotate有文件上传漏洞，允许用户上传可执行文件。导致服务器可以被攻击者获取低权限用户，wordpress的配置文件wp-config.php中包含loly用户的密码，所以攻击者可以切换到权限更高的用户loly。Linux服务器有[CVE-2017-16995] eBPF_verifier漏洞，所以使用loly用户运行对应脚本后，获得该服务器最高权限。（当然此处不是用的脏牛漏洞，我只是CV了之前的命令，没有修改名字。