内网靶场(一)
0x00 前言
最近公司内部开放了一些靶场给大家打,一周内打到靶标,目标是freey后台,过程要全程记录,上周和同事打到域就没打了,后面到靶标都是同事在打,过程很坎坷很贴合实战,很多坑没写出来, 攻击路径还是蛮长的,差点就打不完了,用时一周。
攻击路径如下:
禅道->zabbix->nacos->linux入域机器->域控->运维机->VPN到靶标
这周还有一个靶场,在我写这篇文章的时候已经打下靶标,用时2天。
0x01 入口点
入口点是个禅道,历史漏洞失败,看到有个adminer
打开之后有个401认证,账号密码都是admin
打开之后adminer版本为4.7.7,历史漏洞都不行,尝试使用弱口令爆破,当时有个坑,这里server没填端口,爆破了几万条都没出来,后面填上直接弱口令admin 123456就进去了。。
在数据库的表中找到后台的账号密码,然后拿去解密md5
密码为[email protected],进入后台之后直接命令执行上线cs
上线之后发现系统为centos6,用sudo提权到root
0x02 内网横向
到内网后就对172.24段扫描,发现有nacos、zabbix和minio,nacos有权限绕过,进入后台并未发现有什么东西
nacos无果转zabbix,弱口令失败,尝试爆破密码,根据前面密码[email protected],判断前面的xxx@不会变,后面的.123可能是主机ip(因为前面禅道的后台密码和上线ip是一致的),成功爆破出[email protected],通过反弹shell上线nacos、minio和zabbix
在zabbix和minio信息收集没发现什么,在nacos上用pwnkit提权到root,在/home/xxx/.ssh/发现有公私钥
通过ssh上线发现为双网卡,还有一个192.168.20的段
接着对该机器进行提权,pwnkit,sudo提权都失败,通过查找suid,找到find命令设置了S属性,提权到root
然后对当前机器信息收集,发现网络连接有和192.168.20.x的389端口通信,熟悉域的都知道这是ldap端口,猜测当前机器可能加入到域。在/etc目录下看到有krb5.conf配置文件,当前域为template.local
etc下还有个krb5.keytab,通过keytabextract.py解析获得hash,成功获得域账户
0x03 域横向
使用当前账户枚举域内信息
发现存在一个域管tpadmins
域内有三台机器,win10、域控和当前的linux
前期在对入域的linux的机器信息收集时发现,在home目录下有tpadmins的文件夹,说明有登陆过当前主机,并且查询到当前机器有sssd服务
通过工具抓取sssd内存中凭证,成功抓到tpadmins的hash
本地对hash进行破解,解密出明文Admin@1234
通过tpadmins账户直接上线域控
前期扫描并未发现win10主机的ip地址,通过dig反查出ip,再通过全端口扫描发现开启了5985(winrm),通过winrm横向上线cs
抓取浏览器密码没抓到东西,因为用的是域管的账号,后面用yunwei这个域账号去抓就抓到了凭证和记录
在桌面上看到有个kdbx的文件,是keepass的数据库工具,通过上面抓的密码pt打开到数据库,并获取到了vpn和ferry的密码
之后通过vpn接入成功拿到靶标后台
列一下成果