Ra 2

WindCorp最近发生了安全漏洞。从那以后，他们加强了基础设施，从错误中吸取教训。但也许还不够？您已经设法进入了他们的本地网络…

端口扫描

循例 nmap

域名跟Ra前部基本一样, 多了个selfservice

SMB枚举

smbmap

enum4linux也没什么信息

DNS枚举

dig枚举，txt记录发现flag1，并且flag是一句话

允许不安全的动态更新是一个重大的安全漏洞，因为可以从不受信任的来源接受更新

Web枚举

根据Ra，尝试故技重施，重置lilyle的密码，发现失败

来到fire子域，跟主域一致，除了有个按钮，它指向了一个新的子域

发现需要登录，查看包发现还是ntlm，这让我不禁想起pth2web，然而目前也没有可用凭据

使用gobuster对着fire扫描有个powershell, 但目前并没有可用凭据

查看源代码发现了9090端口

进去是一个openfire 4.5.1，但没没有找到什么特别有用的公开漏洞，扫目录也没扫到啥东西

剩下一个selfservice子域没扫，gobuster扫一下

由于没登录的缘故，也扫不到东西

回到端口扫描结果，遗漏了一个dev

gobuster扫到个backup

里面只有一个证书，这是从未见过的未知打法

DNS缓存投毒

其实回到开头获得的第一个flag给出的信息，其实很明显，这指引我们要对dns做点手脚

我参考了wp，其实我的想法也差不多，但没想到会有机器人发送登录请求这个茬

根据flag1的信息，这表明我们可以动态的更新dns服务器的缓存表项，selfservice的https需要ntlm身份验证登录，而根据wp的提示，会有机器人自动发登录请求

这意味着如果我们能通过dns缓存投毒，使selfservice子域的dns的a记录改成攻击机的的ip地址，那么机器人将会带着ntlm hash过来，我们也将能获得该hash并且进一步利用

这种攻击方式以前只学过理论，但付之于实战这也是第一次

首先需要把https搭起来，我也学着wp使用responder搭

至于证书，刚刚我们已经从selfservice.dev子域获取了，但它是pkcs格式，我们需要从中获得ssl cer和key

它需要密码，pfx2john + john直接爆

获得cert.pem和key.pem

配置responder

开responder，确保https没问题

手动连接到本地443，查看一下证书，没问题

使用nsupdate向靶机即dns服务器进行投毒

dig看一下，确定修改成功

不一会，机器人就带着凭据过来了

hashcat直接爆

立足

回到刚刚的fire子域下的/powershell，拿着凭据直接登录

成功进来，并同时获得flag2

权限提升

查看whoami /all，有许多让眼前一亮的信息，其中最值得注意的依然是老朋友SeImpersonatePrivilege

传个PrintSpoofer

添加账户并加入admins组

xfreerdp直接登

flag3