HTB打靶日记:Intelligence

已于 2022-12-28 01:04:15 修改
阅读量768 收藏 1
点赞数 2
文章标签: 安全 网络安全 网络攻击模型 windows 系统安全
于 2022-12-28 00:55:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73998094/article/details/128460269
版权

信息收集:

nmap -p- -sT --min-rate=10000 -Pn 10.129.95.154

nmap -p- -sU --min-rate=10000 -Pn 10.129.95.154

nmap -p53,80,88,135,139,389,445,593,636,3268,3269,5985,9389,49666,49691,49692 -sT -sV -sC -O -Pn 10.129.95.154

nmap -p53,80,88,135,139,389,445,593,636,3268,3269,5985,9389,49666,49691,49692 --script=vuln -sT 10.129.95.154

通过nmap探测到存在 intelligence.htb,dc.intelligence.htb两个域名,加入hosts文件中,

发现53端口开放,且获得域名,尝试区域传输后没有什么信息

dig @10.129.95.154 axfr  intelligence.htb

 ldapsearch探测出了两个域名DomainDnsZones.intelligence.htb与ForestDnsZones.intelligence.htb,加入hosts文件中

 

smb协议与rpc协议也无法匿名登陆,只好查看80端口,尝试从web端获取信息

在网站里发现了两个pdf

 下载pdf后,发现了两个用户名,记录下来

利用kerbrute尝试 一下,确实是域用户

 检查是否设置了不需要预身份验证,失败(AS-REP-roasting)

 到这里后,感觉思路中断了,看了一下0xdf的思路HTB: Intelligence | 0xdf hacks stuff

这里需要枚举更多的pdf获取其他用户名,枚举脚本:

#!/usr/bin/env python3

import datetime
import io
import PyPDF2
import requests


t = datetime.datetime(2020, 1, 1)
end = datetime.datetime(2021, 7, 4)
keywords = ['user', 'password', 'account', 'intelligence', 'htb', 'login', 'service', 'new']
users = set()

while True:
    url = t.strftime("http://intelligence.htb/documents/%Y-%m-%d-upload.pdf")
    resp = requests.get(url)
    if resp.status_code == 200:
        with io.BytesIO(resp.content) as data:
            pdf = PyPDF2.PdfFileReader(data)
            users.add(pdf.getDocumentInfo()['/Creator'])
            for page in range(pdf.getNumPages()):
                text = pdf.getPage(page).extractText()
                if any([k in text.lower() for k in keywords]):
                    print(f'==={url}===\n{text}')
    t = t + datetime.timedelta(days=1)
    if t >= end:
        break

with open('users', 'w') as f:
    f.write('\n'.join(users))

运行脚本后会得到30个用户与一个密码

利用kerbrute验证用户,显示所有用户都能正常使用

 利用crackmapexec进行密码喷射,发现Tiffany.Molina用户能与密码匹配

查看smb目录的权限

 smbclient连接后找到了user.txt

在IT目录下发现了一个powershell脚本

似乎是检查开头为web的计算机,且每五分钟检查一次 ,那下一步就是模拟web开头的计算机,然后捕获它发送的请求

但在添加DNS的时候发生了错误,不清楚为什么报错(重置了下机器依旧有问题,更换python版本依旧报错)

假设上一步正常,那么此时这里也应该收到了来自Ted.Graves的连接并且捕获到NTLMv2

 利用john对捕获到的hash破解

通过该用户的凭据,利用ldapsearch可以收集到大量的信息

在检查过后发现可以通过当前用户转储MSA的密码(Attacking Active Directory Group Managed Service Accounts (GMSAs) – Active Directory Security)存在约束委派

 利用gMSADumper转储密码,成功获取了svc_int的hashGitHub - micahvandeusen/gMSADumper: Lists who can read any gMSA password blobs and parses them if the current user has access.

但是遗憾的是,无法直接利用这个hash,因此我们需要去请求administrator的票据

它提示我们错误,并显示clock错误

 利用ntpdate去更新时间与10.129.138.217相同

 再次请求administrator的TGT票据,成功获取administrator.ccache

将票据添加到环境变量中

 

利用wmiexec成功登陆,获取administrator权限

 

文(备考oscp版~)
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTB-oscplike-Fuse+Intelligence
m0_53302733的博客
04-21 3911
HTB-oscplike-Fuse+Intelligence Fuse 除开忙了几天耽误了一段时间 这个月二十多天加上没记录的打了五十多台机器了 htb会员也马上到期了 这两天找几台AD域的打打 回头就打oscp里的机器了 medium难度的fuse 靶机IP 10.10.10.193 sudo nmap -sS -sV -A -p- --min-rate=1000 -Pn 10.10.10.193 53/tcp open domain Simple DNS Plus 80/tcp
HackTheBox-Intelligence WP
h1nt的博客
10-19 2917
0x01 端口探测 使用nmap对靶机进行探测: nmap -sV -sC 10.10.10.248 比较标准的DC端口,还多了个WEB的80。 0x02 user.txt 进WEB看看,发现在主页目录可以下载文档。主页能下载的文档文件名为2020-01-01-upload.pdf 遂写了脚本进行爆破,将所有的文档下载下来: import requests for month in range(1, 13): for day in range(1, 32):
【Hack The Box】windows练习-- Intelligence
人间体佐菲的博客
11-17 662
【Hack The Box】windows练习-- Intelligence
【Hack The Box】windows练习-- forest
人间体佐菲的博客
11-03 433
【Hack The Box】windows练习-- forest
HTB Arctic[ATT&CK模型]writeup系列7
重新启程
02-05 3348
目录 0x00 靶机情况 0x01 ATT&CK ATT&CK能用来干什么? 网空威胁行为体(CyberThreat Actors) ATT&CK模型 TTP的定义 0x02 PRE-ATT&CK 一、Priority Definition(优先级定义) 二、Target Selection(选择目标) 三、Information Gat...
HTB打靶日记:Soccer
m0_73998094的博客
12-29 1218
HTB打靶日记:Soccer
HTB打靶日记:Brainfuck
m0_73998094的博客
12-25 775
HTB打靶日记:Brainfuck
HTB打靶日记:Inject
m0_73998094的博客
03-12 2138
HTB打靶日记:Inject
HTB打靶日记:Investigation
01-27
hackthebox
HTB打靶日记:Stocker
01-15
hackthebox
HTB打靶日记:Mentor
01-11
hackthebox
HTB打靶日记:BroScience
01-10
hackthebox
HtB撰写内容:修改内容-撰写内容
02-10
砍箱子-写东西 本部分适用于完成的所有机器,挑战和工作。
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
最新发布
HACKONE的博客
06-23 92
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
在物联网设备安全中,如何有效进行固件更新管理?
2403_84237550的博客
06-17 434
• 更新后持续监控设备状态,评估更新效果,及时发现并解决更新带来的新问题。在物联网设备安全中,有效进行固件更新管理是一个关键环节,涉及到多个步骤和策略,以确保更新过程既安全又高效。• 在部署固件更新前,进行全面的安全验证和兼容性测试,确保更新包的来源可靠,未被篡改,并且不会影响设备的正常运行。• 记录每次固件更新的详细信息,包括更新时间、版本号、更新内容和操作人员等,以便追溯和审计。• 加强用户对固件更新重要性的认识,教育用户如何正确执行和验证更新,提升整体安全意识。
安全】Linux Fanotify使用入门
追寻梦想的青春
06-19 825
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始化句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变化的事件,根据事件中给出的参数获取文件的路径、事件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变化,而global模式可以监控整个文件系统。
企业防盗版,如何保障上网安全
shenxinda_lu的博客
06-20 309
当需要访问互联网时,用户在隔离沙盒内进行操作,确保主机与互联网物理隔离,只有沙盒能够访问互联网,且沙盒与本机隔离。
如何隐藏真实的MAC地址和IP地址,保证多账户的安全
vmlogin888的博客
06-18 554
在计算机网络中,MAC地址(Media Access Control Address)和IP地址(Internet Protocol Address)是两个重要的概念,用于网络设备之间的通信。虽然它们都用于标识设备,但在运作原理和作用上有着明显的区别。
format htb
08-24
HTB is an abbreviation for Hack The Box, which is an online platform that provides hands-on penetration testing and hacking challenges. It allows users to simulate real-world cybersecurity scenarios ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值