0x00 前言

最近公司内部开放了一些靶场给大家打,一周内打到靶标,目标是freey后台,过程要全程记录,上周和同事打到域就没打了,后面到靶标都是同事在打,过程很坎坷很贴合实战,很多坑没写出来, 攻击路径还是蛮长的,差点就打不完了,用时一周。

攻击路径如下:

禅道->zabbix->nacos->linux入域机器->域控->运维机->VPN到靶标

这周还有一个靶场,在我写这篇文章的时候已经打下靶标,用时2天。

0x01 入口点

入口点是个禅道,历史漏洞失败,看到有个adminer

image-20240123195758807

打开之后有个401认证,账号密码都是admin

image-20240123200050674

打开之后adminer版本为4.7.7,历史漏洞都不行,尝试使用弱口令爆破,当时有个坑,这里server没填端口,爆破了几万条都没出来,后面填上直接弱口令admin 123456就进去了。。

image-20240123200153594

image-20240123200246085

在数据库的表中找到后台的账号密码,然后拿去解密md5

image-20240123200319864

image-20240123200346504

密码为[email protected],进入后台之后直接命令执行上线cs

image-20240123200509105

image-20240123200518180

image-20240123200524188

上线之后发现系统为centos6,用sudo提权到root

image-20240123200606875

0x02 内网横向

到内网后就对172.24段扫描,发现有nacos、zabbix和minio,nacos有权限绕过,进入后台并未发现有什么东西

image-20240123200749397

nacos无果转zabbix,弱口令失败,尝试爆破密码,根据前面密码[email protected],判断前面的xxx@不会变,后面的.123可能是主机ip(因为前面禅道的后台密码和上线ip是一致的),成功爆破出[email protected],通过反弹shell上线nacos、minio和zabbix

image-20240123201022536

image-20240123201101989

在zabbix和minio信息收集没发现什么,在nacos上用pwnkit提权到root,在/home/xxx/.ssh/发现有公私钥

image-20240123201255622

通过ssh上线发现为双网卡,还有一个192.168.20的段

image-20240123201324568

接着对该机器进行提权,pwnkit,sudo提权都失败,通过查找suid,找到find命令设置了S属性,提权到root

image-20240123201509592

然后对当前机器信息收集,发现网络连接有和192.168.20.x的389端口通信,熟悉域的都知道这是ldap端口,猜测当前机器可能加入到域。在/etc目录下看到有krb5.conf配置文件,当前域为template.local

image-20240123201644002

etc下还有个krb5.keytab,通过keytabextract.py解析获得hash,成功获得域账户

image-20240123201731809

0x03 域横向

使用当前账户枚举域内信息

image-20240123201903580

发现存在一个域管tpadmins

image-20240123201931244

域内有三台机器,win10、域控和当前的linux

image-20240123201951057

前期在对入域的linux的机器信息收集时发现,在home目录下有tpadmins的文件夹,说明有登陆过当前主机,并且查询到当前机器有sssd服务

image-20240123202152711

通过工具抓取sssd内存中凭证,成功抓到tpadmins的hash

image-20240123202217975

本地对hash进行破解,解密出明文Admin@1234

image-20240123202256880

通过tpadmins账户直接上线域控

image-20240123202324519

前期扫描并未发现win10主机的ip地址,通过dig反查出ip,再通过全端口扫描发现开启了5985(winrm),通过winrm横向上线cs

image-20240123202517826

image-20240123202535875

抓取浏览器密码没抓到东西,因为用的是域管的账号,后面用yunwei这个域账号去抓就抓到了凭证和记录

image-20240123202651889

在桌面上看到有个kdbx的文件,是keepass的数据库工具,通过上面抓的密码pt打开到数据库,并获取到了vpn和ferry的密码

image-20240123202747339

之后通过vpn接入成功拿到靶标后台

image-20240123202817555

列一下成果

image-20240123203100772