LCTF_God_of_domain-pentest_WP

in 抛砖引玉 with 1 comment

LCTF_God_of_domain-pentest_WP

周五下午给雨师傅送战队贴纸然后路上发生了些小故事,导致周六晚上才回学校得以做题。碰巧看到一个域渗透的题就熬夜玩了玩.
Nu1L 欢迎各位大佬加入! 传送门

题目描述:
windows域环境权限不好配,还请各位师傅高抬贵手,不要搅屎 
c段只用到了0-20,不需要扫21-255,端口也只开放了常用端口。 
web.lctf.com中有个域用户是web.lctf.com\buguake,密码是172.21.0.8的本地管理员密码 

188.131.161.90

Screen Shot 2018-11-18 at 4.38.58 AM.png

nmap很容易得到一个web和开了socks5的1080 1090端口.
内网扫了下发现0.8上80端口开着并跑着phpmyadmin于是general_loggetshell.

Screen Shot 2018-11-18 at 3.35.30 AM.png

然后还存在永恒之蓝2333 于是愉快的使用mimikatz得到了本地administrator密码和域账号密码.

Screen Shot 2018-11-18 at 3.37.13 AM.png

然后通过域内信息收集得到了SUB-DC.web.lctf.com尝试了一波ms14068.(impacket套件中的goldenPac.py)

Screen Shot 2018-11-18 at 3.47.41 AM.png

拿下sub-dc之后发现存在父域.

Screen Shot 2018-11-18 at 3.50.13 AM.png

然后通过mimikatz伪造内部信任AD林中的信任票据,这里是因为Gold Ticket中默认包含了Enterprise Admin组的关系,而Enterprise Admin同时又是AD域中Administrator组的成员。(涉及sidHistory)所以攻击者可以伪造黄金票据来获取到域中的Enterprise Admin权限,实现跨域.

kerberos::golden /domain:web.lctf.com /sid:子域sid /sids:企业管理组sid /krbtgt:nthash /user:任意填写

misc:cmd弹 cmd然后愉快的读flag.(父域:dc.lctf.com)

Screen Shot 2018-11-18 at 4.22.34 AM.png

最后清除票据.

Screen Shot 2018-11-18 at 4.28.41 AM.png

详细的原理分析师傅们可以去https://adsecurity.org/找找看.

Responses
  1. scanf粉丝后援团

    太强了 tql 羡慕死了

    alert(1)

    Reply