访问过去是wordpress

弱口令admin/123456成功进入后台

img

给404页面写个马进去

img

蚁剑连上去,拿到第一个flag

img

img

fscan扫内网,除了本机还有四台机器

img

搭建frp

img

img

先打永恒之蓝

1
2
3
4
5
proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.15.24
exploit

img

dump哈希

img

打pth拿到第二个flag

img

访问这台我们打下来的机器,admin/123456弱口令进后台

img

这里有很多邮箱,全部复制下来去掉xiaorang.lab的后缀做成一个字典

img

接下来打AS-REP Roasting

找一下有spn的用户,有两个

img

hashcat分别爆破出密码

lixiuying/winniethepooh

huachunmei/1qaz2wsx

img

img

bloodhound收集信息

img

用户lixiuying有GenericWrite权限

img

接下来打RBCD

创建一个机器账户

img

配置属性指向域控机器账户

img

获取ST

img

ptt拿flag

img

img

创建一个机器账号

img

看一下证书信息

img

接下来打AD CS

申请模板伪造证书

img

尝试获取TGT和NTLM hash,发生报错

img

这个报错之前在做certify靶标的时候也遇到过,但是在重启了N次以后就成功了。在这里看来是题目本身缺少了智能卡身份验证证书的配置,因此无法通过重启解决。看了大佬们的博客,这里有一种替代方法,可以将问题转化为BCD来解决。

导出.crt和.key

img

配置RBCD

img

申请ST

img

最后对域控打ptt即可

img

img