Cyberstrikelab lab9



访问网站,后台是/admin,手动尝试几个弱口令,admin/admin123456瞬间就进去了

进入之后就看到有个调试模板的功能

image


看起来是那种通过拖动模块来修改模板的工具,页面中没有找到可以编辑修改模板内容的,但是这里的检查源码功能看到有通过`{}`来获取后台某些值的行为

image
image


根据直觉,这里很可能可以执行php代码,但是不知道是什么模板引擎,也不知道这种算不算模板注入

那要怎么去修改呢?很快想到这虽然是拖动已有的模块来修改页面,但是在保存时发送给服务器的请求包中的内容会是代码形式吗?这很有可能
点击保存,抓包,看见确实是这样

image


修改请求包执行php代码,我不知道哪个参数起作用,所以就都改了,这里改的是页底的模板


第一次尝试的是{php:system()}这种形式,发现报了php的语法错误,当时我就感觉更有希望了,之后尝试把php:去掉写个函数进去果然成功

image

image


之后就是一些常规流程了
反弹shell,找找配置文件中的数据库密码,使用badpotato提权,执行一下mimikatz,hashdump,传fscan扫描内网,用Stowaway搭建代理

尝试用跳板机的本地管理员hash登录域控和另一台域机器;尝试通过SMB空会话列举域用户、共享,还有另一台域机器的共享。当然都失败了

发现CYBERWEB主机的guest用户密码为空,列出共享有一个smb,其中有一个文件user.txt,但是没有读取权限,爆破rid也没有更多的账户存在

一套下来后发现好像又只有爆破了


这次我的非常符合国情的字典失效了,没爆出来,愣了一会儿

image


过了会儿我才想起换个大点的字典不就行了吗,哈哈

爆破密码的最佳实践就是从最小的规模(也是最可能的)开始,逐渐扩大,从手敲几个最常见的开始,然后top100/500,有用户名等信息可以用规则生成字典然后混合(规则也先用最好且最小的) 然后更大


image


看wp说fscan是可以直接爆破出密码的,但是不知道为啥我的没有

之前fscan扫出了一个poc-yaml-active-directory-certsrv-detect,上网查了一下,说明环境中有证书服务
又在网上学习了一些相关的漏洞和利用方式
以下为deepseek生成

fscan 报出 poc-yaml-active-directory-certsrv-detect 警告,意味着它在目标环境中检测到了 Active Directory 证书服务(AD CS) 的存在,并且正在对其进行基础的漏洞探测。简单来说,这不是一个具体的漏洞名称,而是 fscan 内置的一个检测模块在告诉你:它发现了 AD CS 服务器,并检查到了可能存在的配置问题

1. 这个检测在做什么?

certsrv-detect 这个检测模块,是 fscan 用来识别 AD CS 并初步判断其是否存在可利用配置错误的探针。它的核心逻辑是模拟攻击者使用 CertifyCertipy 这类工具进行枚举的行为。

当这个检测被触发并给出结果时,通常意味着它发现了满足以下部分或全部条件的证书模板,这些条件组合起来,就可能构成一个严重的权限提升漏洞(如 ESC1):

  • 低权限用户可以注册:允许普通域用户申请该模板的证书。
  • 允许在请求中指定“主题备用名称 (SAN)”:这意味着攻击者可以申请一个证书,并声称这个证书属于任何人,比如域管理员。
  • 证书可用于身份验证:该模板的“增强型密钥用途 (EKU)”包含了“客户端认证”或“智能卡登录”,使得获取的证书可以直接用于登录域。
  • 无需管理员批准:证书申请流程是自动化的,不需要证书管理员手动审核。

2. 为什么这是一个严重的问题?

如果上述条件都满足,攻击者就可以利用这个漏洞(被称为 ESC1):

  1. 一个没有任何特权的普通域用户,使用 CertifyCertipy 工具向存在漏洞的证书模板发起请求。
  2. 在请求中,他将“主题备用名称 (SAN)”字段指定为目标特权账户(例如域管理员 [email protected])的用户主体名称 (UPN)。
  3. 证书服务器会为他颁发一张证书,而这张证书在逻辑上“属于”域管理员。
  4. 攻击者拿着这张证书,就可以通过 kerberosschannel 等方式,成功认证为域管理员,从而获取其权限,甚至直接利用工具导出域内所有用户的密码哈希(DCSync)。


使用certipy操作,先探测一下有没有漏洞

sudo proxychains -q certipy-ad find -u cslab -p cs1ab@wwe -dc-ip 10.6.6.55 -ns 10.6.6.55 -dns-tcp -vulnerable -stdout


image

image


可以看到有ESC1漏洞,证书颁发机构名为cyberstrikelab-DC-CA,有一个模板DC

sudo proxychains -q certipy-ad req -u cslab -p cs1ab@wwe -target 10.6.6.55 -dc-ip 10.6.6.55 -ca cyberstrikelab-DC-CA -template DC -upn administrator


image


sudo proxychains -q certipy-ad auth -pfx administrator.pfx -dc-ip 10.6.6.55 -ns 10.6.6.55 -username administrator -domain CYBERSTRIKELAB.COM


之后就报错了,看wp说是时间不同步导致的,这里就没自个做了,反正后面就是拿到administrator的hash,然后用这个登上域控就完了

image

posted @ 2026-03-31 23:31  巡璃27  阅读(10)  评论(0)    收藏  举报