**
HackTheBox-windows-Active-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/148
靶机难度:中级(4.8/10)
靶机发布日期:2018年12月4日
靶机描述:
Active is an easy to medium difficulty machine, which features two very prevalent techniques to gain privileges within an Active Directory environment.
作者:大余
时间:2020-03-12
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.100…
Nmap揭示了一个域为Active Directory安装的active.htb,Microsoft DNS 6.1正在运行,它允许nmap将域控制器指纹识别为Windows Server 2008 R2 SP1, 端口445也打开着,继续进一步的执行nmap SMB脚本查看…
命令:nmap --script=safe -p 445 10.10.10.100
可以看到SMB2版本正在运行,并且连接到它的所有客户端都已启用,还需要消息签名,试试SMB中继攻击…
前面nmap139上看到打开了netbios-ssn,利用smbmap查看存在的目录情况,然后以匿名方式访问共享Replication,但是目录太大,我通过别的方式查看所有文件信息…
\active.htb\Policies{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups
在gropu目录下发现了Groups.xml ,文件是可逆格式存储着,存在用户名密码…
命令:smbmap -R Replication -H 10.10.10.100 -A Groups.xml -q
通过命令下载,然后查看找到一个用户名和一个加密的密码…
二、提权
cpassword是组策略密码,学习链接:https://adsecurity.org/?p=2288 (简称GPP)
这里需要解密gpp,使用gpp-decrypt工具即可
解密成功…
通过凭证登陆到users目录下,查看到user内容…
回看前面nmap发现开放了88端口运行了kerberoas服务,下面运行kerberoasting技术进行获取root信息…
https://room362.com/post/2016/kerberoast-pt1/
https://room362.com/post/2016/kerberoast-pt2/
https://room362.com/post/2016/kerberoast-pt3/ kerberoasting学习资料
利用GetUserSPNs.py从impacket得到管理员Kerberos凭证…
命令:python GetUserSPNs.py -request active.htb/SVC_TGS
获得了密匙凭证,直接通过john爆破即可…
命令:john dayu.txt --wordlist=/usr/share/wordlists/rockyou.txt
通过爆破获得了管理员密码…
方法1:
命令:smbclient -U administrator //10.10.10.100/Users
很简单,知道了管理员密码,直接利用smbclient登陆即可…
登陆后在桌面查看到了root信息…
方法2:
当然,一路走下来,我们都是利用smb共享的方式攻破了这台靶机,shell都没用上…
这边可以利用psexec和wmiexec都可以用于获取具有管理员级别访问权限的系统上的Shell…
演示个:
成功获得shell,进入到计算机中…
轻松获得了shell…获得shell后能进行什么操作就不多说了,进去看看就好…
提示下,psexec是个python文件,在本地直接使用我报了很多错,所以才直接利用msf的,一般在本地就可执行…不知道是不是新版kali的原因…
方法3:
命令:python3 wmiexec.py active.htb/Administrator:Ticketmaster1968@10.10.10.100
利用wmiexec进行获得shell…
方法4:
命令:mount -t cifs //10.10.10.100/Users /mnt/smb -v -o user=SVC_TGS,pass=GPPstillStandingStrong2k18
这里利用挂载的方式在本地直接可以共享访问对方靶机的所有权限信息…
方法太多了这里…列举四个就好了…
通过SMB匿名访问重定位文件共享,到组策略首选项泄露…到Kerberoasting获得管理员凭证…
SMB共享在生活中太常见了…建议,删除对复制共享的匿名访问,删除密钥加密的旧密码,Kerberoasting它是Windows的一项功能,而不是Windows的一个bug,但仍需要一个强大的密码策略,以使散列更难用普通的单词列表破解,建议长度至少为28个字符,并且每六个月轮换一次,或者用最低特权策略进行限制减轻攻击…
由于我们已经成功得到root权限查看user.txt和root.txt,因此完成了中等靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。