polar招新 babydc
复现一下
先信息收集一波
是个域控,数据库对外开放,有web
web页面没什么利用的点
先看看别的地方有没简单的漏洞
smb空会话,RPC匿名
LDAP RootDSE
匿名子树枚举
行不通都
那就枚举一下用户名爆破
目前能根据已知信息推测出来的用户名有这些
用户名 | 来源 |
Alucard | Windows登录界面显示 |
alucard | Alucard的小写形式 |
Administrator | Windows/AD 默认管理员账户 |
sqlsvc | 目标开放 MSSQL,推测常见 SQL 服务账户 |
castlevania | 主机名 CASTLEVANIA的小写形式 |
Guest | Windows 默认来宾账户 |
krbtgt | AD 默认 Kerberos 服务账户 |
这里先用 Impacket 的 GetNPUsers.py 检测用户是否存在以及是否开启 Kerberos 预认证:
impacket-GetNPUsers XMCVE.local/ -dc-ip 10.9.62.44 -usersfile /root/Desktop/user.txt -no-pass
大概意思就是利用 Kerberos 协议的特性,在没有域账号密码的情况下,盲猜并确认域内有哪些真实用户存在;同时顺手牵羊,看看这些用户里有没有配置失误(关闭了预认证)的,如果有,就直接拿下他的哈希。
Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies
[-] User Alucard doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User alucard doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User Administrator doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User sqlsvc doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User castlevania doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] Kerberos SessionError: KDC_ERR_CLIENT_REVOKED(Clients credentials have been revoked)
[-] Kerberos SessionError: KDC_ERR_CLIENT_REVOKED(Clients credentials have been revoked)
确认Alucard、alucard、Administrator、sqlsvc、castlevania用户存在但是没漏洞账户
然后就是爆破爆破密码
没爆出来,顺便爆了下数据库的默认账号也没
然后把已知的信息丢给了ai哥有没有什么cve
用kali的zerologon检测脚本验证一下
确认存在漏洞了
用msf的zerologon模块把密码置空
拿到administrator hash
拿到administrator的shell