Hack The Box——Monteverde

最新推荐文章于 2023-12-01 11:34:09 发布
最新推荐文章于 2023-12-01 11:34:09 发布
阅读量519 收藏 1
点赞数
分类专栏: HackTheBox靶机 文章标签: Hack The Box HTB-Monteverde 渗透测试实例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32261191/article/details/106870227
版权

目录

简介

信息收集

端口扫描与服务识别

枚举域信息

漏洞发现

暴力破解弱口令

漏洞利用

获得域用户密码

权限提升

总结

简介

该靶机又是一台简单的Windows Azure Active Directory域控主机。通过枚举域用户smb服务发现弱口令,进一步通过共享文件夹泄漏的域用户mhope的密码登录域控主机,接着利用Azure Admins组的权限查询SQLServer中存储的域管理员的密码,进而获得域管理员权限。

信息收集

端口扫描与服务识别

使用nmap 10.10.10.172 --min-rate 10000 -T5 -p1-65535 -A -sC快速扫描全端口,发现开启的端口非常多,如图:

有53,88,389,3268端口,看来是台Windows域控主机,且域是MEGABANK.LOCAL。

枚举域信息

先枚举445端口的共享文件,未发现任何信息,如图:

然后使用enum4linux继续枚举,发现域名和域内用户等信息,如图:

漏洞发现

将域内用户保存到user.txt文件中,然后添加MEGABANK.LOCAL到/etc/hosts文件中,使用然后使用impacket中的GetNPUsers.py枚举配置不当的用户的Hash值,未成功,如图:

暴力破解弱口令

使用hydra和medusa枚举smb服务用户名密码未成功(经过搜索发现hydra和medusa貌似都不支持smb2),使用Nmap也未成功,如图:

然后使用kerbrute枚举用户密码也未成功,如图:

使用强大的crackmapexec进行枚举,执行crackmapexec smb 10.10.10.172 -u user.txt -p user.txt,后成功发现弱口令,如图:

后来在Google找到了smbv2的暴力破解项目:smbv2attack,如图:

但是该ruby程序使用单线程,速度较慢。

漏洞利用

然后使用获取到的弱口令利用5985端口登录目标主机,但是认证失败,如图:

尝试利用445端口获得sehll失败,如图:

获得域用户密码

然后枚举用户SABatchJobs的共享文件,发现可读文件夹,如图:

然后递归查看文件夹,发现xml文件,如图:

然后将users$/mhope/azure.xml文件下载到本地并查看,发现一个域用户密码,如图:

由于在mhope目录下,因此尝试使用用户名mhope和该密码通过5985端口登录主机,成功获得用户mhope的shell,如图:

权限提升

查看系统版本发现是Windows Server 2019,如图:

尝试使用certutil上传提权辅助工具发现被杀毒软件阻止了,如图:

直接使用upload命令上传成功,如图:

运行程序之后发现没有可修改的服务和注册表,但发现用户mhope在Azure Admins组,如图:

且在本地监听了1434端口,如图:

经过Google搜索发现可以利用Azure连接SQLServer提取密码,从而提升权限。这里我选择了PowerShell版本的PoC,但是无法直接使用,需要修改连接信息:将$client = new-object System.Data.SqlClient.SqlConnection -ArgumentList "Data Source=(localdb)\.\ADSync;Initial Catalog=ADSync"改为$client = new-object System.Data.SqlClient.SqlConnection -ArgumentList "Server=127.0.0.1;Database=ADSync;Integrated Security=True",尽管如此,新版PoC在解密时仍然会发生错误,如图:

然后尝试使用旧版PoC,在修改PoC中数据库连接信息后,成功获得administrator用户的密码,如图:

然后通过5985端口登录,如图:

总结

该靶机是我第二次对AD域控主机渗透的学习,相比第一次边学边做,这次思路清晰了很多。该靶机也是比较简单,只是在枚举smb服务时花的时间比较多。

江左盟宗主
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hackthebox-Mango(mongodb渗透 & jjs提权)
冬萍子癸水
02-14 1399
这台靶机太卡了。无语 1、扫描 很常规的22可能有ssh登录,80,443web信息搜集 另外结果显示扫描出新地址staging-order.mango.htb,加到本机/etc/hosts C:\root> masscan -p1-65535,U:1-65535 10.10.10.162 --rate=1000 -e tun0 Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2021-02-14 00:21:45 GMT -- forced o
Hackthebox -jeeves(考点:jenkins安全/kdbx文件/smb登录)
冬萍子癸水
04-06 893
nmap 扫起 可见445smb,先nmap脚本看一看 nmap -p 445 --script vuln 10.10.10.63 似乎没什么 另外看到端口50000,理论上冷门高端口应该是就是突破点 dirbuster干他扫到askjeeves ,进去看到是jenkins 那就根据脚本script console来突破了 https://gist.github.com/frohoff/fed1f...
No.188-HackTheBox-windows-Monteverde-Walkthrough渗透学习
qq_34801745的博客
08-19 281
** HackTheBox-windows-Monteverde-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/223 靶机难度:中级(4.3/10) 靶机发布日期:2020年3月23日 靶机描述: Monteverde is an easy Windows machine that features Azure AD Connect. The domain is enumerated and a user list
HTB打靶日记:Monteverde
m0_73998094的博客
12-27 651
HTB打靶日记:Monteverde
HTB-Monteverde
TA不懒,但还没有添加简介
04-16 194
HTB-Monteverde
OSCP LABS TO PRACTICE 2023.pdf
10-06
**HACK THE BOX LABS** 提供了更真实的在线靶场环境,如Forest、Active、Reel、Multimaster、Mantis、Blackfield、Search、Monteverde、Intelligence、Sizzle、Intelligence、APT、Object、Support、Acute、Time...
拯救我的标签「Save my Tabs」-crx插件
03-12
立即保存所有的选项卡。 “保存我的标签页”是一个扩展,只需单击一下即可将所有打开的标签页保存在浏览器中。单击后,您可以选择:-选择要保存的...由SG Web和Monteverde撰写。 支持语言:English,português (Brasil)
Save my Tabs-crx插件
04-02
语言:English,português (Brasil) 一次保存所有标签。 “保存我的标签页”是一个扩展,只需单击一下即可将所有打开的标签页保存在浏览器中。 单击后,您可以选择:-选择要保存的选项卡-...由SG Web和Monteverde撰写。
从WEB到内网&&信息收集&&SMB枚举&&SUID提权-------打靶经验分享
qq_53003652的博客
09-09 153
今天来打一个OSCP的靶机,难度中等,包含了端口探测,服务探测,ssh爆破,SMB枚举,文件上传绕过,suid提权等等…靶场难度中等偏高,需要收集两个flag,一个flag低权限shell就可以获取,第二个要提权后才可以获取。希望大家看完可以有所收获。
hackthebox - Querier (SqlServer mssql 渗透 & olevba & group policy passwords 提权)
冬萍子癸水
02-13 471
1、扫描 可见smb和mssql 开了。连web都没有,就这几个端口渗透了 C:\root> nmap -A 10.10.10.125 Starting Nmap 7.80 ( https://nmap.org ) at 2021-02-13 09:36 CST Nmap scan report for 10.10.10.125 (10.10.10.125) Host is up (0.34s latency). Not shown: 996 closed ports PORT STATE S
计算机入域时域控用到的端口,AD域控制器使用端口的说明
weixin_30499091的博客
07-27 8614
AD域控需要开放的端口1.用户登录与验证身份时会用到的连接端口Microsoft-DS traffic : 445/TCP 445/UDPKerberos : 88/TCP 88/UDPLDAP ping : 389/UDPDNS : 53/TCP 53/UDP2.计算机登录与验证身份时会用到的连接端口Microsoft-DS traffic : 445/TCP 445/UDPKerberos :...
【LDAP】Spring项目同步LDAP域用户信息总览(含ldapTemplate.search仅查询1000条数据的解决方案)
最新发布
Etui۹(・༥・´)و的博客
12-01 2507
轻量级目录访问协议LDAP是一种开放的、供应商中立的行业标准应用协议,用于通过Internet 协议(IP) 网络访问和维护分布式目录信息服务。目录服务允许在整个网络中共享有关用户、系统、网络、服务和应用程序的信息,因此在开发Intranet和 Internet 应用程序中发挥着重要作用。例如,目录服务可以提供任何有组织的记录集,通常具有分层结构,例如公司电子邮件目录。类似地,电话簿也是具有地址和电话号码的用户列表。
PC所有端口简介
BIGNECK的博客
05-14 8454
所有端口简介 端口 描述 状态 0/TCP,UDP 保留端口;不使用(若发送过程不准备接受回复消息,则可以作为源端口) 官方 1/TCP,UDP TCPMUX(传输控制协议端口服务多路开关选择器) 官方 5/TCP,UDP RJE(远程作业登录) 官方 7/TCP,UDP ECHO(回显)协议 官方 9/TCP,UDP DISCARD(丢弃)协议 官方 11/TCP,UDP SYSTAT协议 官方...
管理全局编录服务器
weixin_34117211的博客
03-02 883
全局编录服务器也是域控制器,单不是一个普通的域控制器,而是一个特殊的域控制器,特殊的地方在于,普通域控制器只记录本域对象的信息,而全局编录服务器则不仅记录本域所有对象的只读信息,还记录其他域中部分域对象的只读信息。在森林中可以有多个全局编录服务器。全局编录服务器是可以用来高效查询整个目录林请求的域控制器,目录林中的第一个域控制器自动成为全局编录服务器,也可配置任意一个...
Windows服务端口大全(转贴)
wgscd blog
03-26 1589
Windows服务端口大全应用层网关服务Internet 连接共享 (ICS)/Internet 连接防火墙 (ICF) 服务的这个子组件对允许网络协议通过防火墙并在 Internet 连接共享后面工作的插件提供支持。应用层网关 (ALG) 插件可以打开端口和更改嵌入在数据包内的数据(如端口和 IP 地址)。文件传输协议 (FTP) 是唯一具有 Windows Server 2003 标准版和 W
Hack The Box -----------------------Active
大方子
12-16 6927
这次的靶机是Hackthebox的Active 靶机IP地址:10.10.10.100 ======================================================================================== 信息收集 nmap -sV -sT 10.10.10.100  Kerberos在88,netbios-ssn在13...
Hack The Box——Sauna
江左盟的博客
05-27 3611
简介 信息收集 使用nmap --min-rate 10000 -T5 -A -p1-65535 10.10.10.175扫描端口及服务发现开启的端口非常的多,如图: 查看web服务各功能及源代码,未发现获得Shell的漏洞,网站时静态的,通过W3layouts生成,如图: 扫描网站目录也未发现有价值的线索,如图: 然后看到389端口和3268端口都运行着ldap服...
hack the box靶场archetype靶机
zr1213159840的博客
03-19 936
照常打开靶机,看第一个问题 问:主机上的数据库服务时TCP的哪个端口? 答案:1433.可以通过以下命令扫描得出结果 nmap -sV -Pn 10.129.239.163 第二个问题: 问:非管理员的共享的文件夹是什么? 答案:backups。这题是看了提示才知道,提示说可以使用-N -L查看文件夹就能知道了。使用以下命令查看 smbclient -N -L 10.129.239.163 其中以$结尾的文件夹,都是需要管理员权限的。 第三个问题: 问:smb共享文件夹中的文件上,可能的密码是
No.97-HackTheBox-Linux-Cronos-Walkthrough渗透学习
qq_34801745的博客
05-14 303
** HackTheBox-Linux-Cronos-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/11 靶机难度:中级(4.5/10) 靶机发布日期:2017年10月13日 靶机描述: CronOS focuses mainly on different vectors for enumeration and also emphasises the risks associated with adding world
hackthebox-sauna (域渗透/bloodhound使用/mimikatz使用/secretsdump.py、psexec使用)
冬萍子癸水
01-06 3799
1、扫描 先masscan全局快速扫,再namp精细扫 masscan -p1-65535,U:1-65535 10.10.10.175 --rate=1000 -e tun0 nmap -A 10.10.10.175 -p389,5985,445,53,139,49667,636,135,88,49673,49674,80,464,52613,593,49676 可见 开了很多端口,而88 389 这都是域端口,389后面也详细写了域名字,跟htb里这个域渗透的靶机froest很像了。准备好impack
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值