No.66-HackTheBox-windows-Active-Walkthrough渗透学习

最新推荐文章于 2023-11-06 23:15:27 发布
最新推荐文章于 2023-11-06 23:15:27 发布
阅读量416 收藏 1
点赞数
分类专栏: Hack The box 文章标签: python java linux 数据库 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34801745/article/details/104819705
版权

**

HackTheBox-windows-Active-Walkthrough

**

靶机地址:https://www.hackthebox.eu/home/machines/profile/148
靶机难度:中级(4.8/10)
靶机发布日期:2018年12月4日
靶机描述:
Active is an easy to medium difficulty machine, which features two very prevalent techniques to gain privileges within an Active Directory environment.
作者:大余
时间:2020-03-12
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

在这里插入图片描述
可以看到靶机的IP是10.10.10.100…
在这里插入图片描述
在这里插入图片描述
Nmap揭示了一个域为Active Directory安装的active.htb,Microsoft DNS 6.1正在运行,它允许nmap将域控制器指纹识别为Windows Server 2008 R2 SP1, 端口445也打开着,继续进一步的执行nmap SMB脚本查看…
在这里插入图片描述
命令:nmap --script=safe -p 445 10.10.10.100
可以看到SMB2版本正在运行,并且连接到它的所有客户端都已启用,还需要消息签名,试试SMB中继攻击…
在这里插入图片描述
前面nmap139上看到打开了netbios-ssn,利用smbmap查看存在的目录情况,然后以匿名方式访问共享Replication,但是目录太大,我通过别的方式查看所有文件信息…
在这里插入图片描述
在这里插入图片描述
\active.htb\Policies{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups
在gropu目录下发现了Groups.xml ,文件是可逆格式存储着,存在用户名密码…
在这里插入图片描述
命令:smbmap -R Replication -H 10.10.10.100 -A Groups.xml -q
通过命令下载,然后查看找到一个用户名和一个加密的密码…

二、提权

cpassword是组策略密码,学习链接:https://adsecurity.org/?p=2288 (简称GPP)
这里需要解密gpp,使用gpp-decrypt工具即可
在这里插入图片描述
解密成功…
在这里插入图片描述
通过凭证登陆到users目录下,查看到user内容…
回看前面nmap发现开放了88端口运行了kerberoas服务,下面运行kerberoasting技术进行获取root信息…

https://room362.com/post/2016/kerberoast-pt1/
https://room362.com/post/2016/kerberoast-pt2/
https://room362.com/post/2016/kerberoast-pt3/   kerberoasting学习资料

在这里插入图片描述
利用GetUserSPNs.py从impacket得到管理员Kerberos凭证…
在这里插入图片描述
命令:python GetUserSPNs.py -request active.htb/SVC_TGS
获得了密匙凭证,直接通过john爆破即可…
在这里插入图片描述
命令:john dayu.txt --wordlist=/usr/share/wordlists/rockyou.txt
通过爆破获得了管理员密码…

方法1:

在这里插入图片描述
命令:smbclient -U administrator //10.10.10.100/Users
很简单,知道了管理员密码,直接利用smbclient登陆即可…
在这里插入图片描述
登陆后在桌面查看到了root信息…

方法2:

当然,一路走下来,我们都是利用smb共享的方式攻破了这台靶机,shell都没用上…
这边可以利用psexec和wmiexec都可以用于获取具有管理员级别访问权限的系统上的Shell…
演示个:
在这里插入图片描述
成功获得shell,进入到计算机中…
在这里插入图片描述
轻松获得了shell…获得shell后能进行什么操作就不多说了,进去看看就好…
提示下,psexec是个python文件,在本地直接使用我报了很多错,所以才直接利用msf的,一般在本地就可执行…不知道是不是新版kali的原因…

方法3:

在这里插入图片描述
命令:python3 wmiexec.py active.htb/Administrator:Ticketmaster1968@10.10.10.100
利用wmiexec进行获得shell…

方法4:

在这里插入图片描述
命令:mount -t cifs //10.10.10.100/Users /mnt/smb -v -o user=SVC_TGS,pass=GPPstillStandingStrong2k18
这里利用挂载的方式在本地直接可以共享访问对方靶机的所有权限信息…
方法太多了这里…列举四个就好了…

通过SMB匿名访问重定位文件共享,到组策略首选项泄露…到Kerberoasting获得管理员凭证…
SMB共享在生活中太常见了…建议,删除对复制共享的匿名访问,删除密钥加密的旧密码,Kerberoasting它是Windows的一项功能,而不是Windows的一个bug,但仍需要一个强大的密码策略,以使散列更难用普通的单词列表破解,建议长度至少为28个字符,并且每六个月轮换一次,或者用最低特权策略进行限制减轻攻击…

由于我们已经成功得到root权限查看user.txt和root.txt,因此完成了中等靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

在这里插入图片描述

大余xiyou
关注
专栏目录
HTB-Active(域、Groups.xml、服务票据TGS)
墨痕诉清风的博客
05-28 1378
除了自定义共享之外,我还可以看到SYSVOL共享,它包含一组文件和文件夹,这些文件和文件夹驻留在域中的每个域控制器上,并由文件复制服务(FRS)复制。找到密码后,我做的第一件事就是创建users.txt文件和password.txt文件,并将我的发现添加到相应的文件中。由于这不是一个标准的NTLM散列,我需要破解它,所以我完整地复制了它,并将其粘贴到一个名为hash.txt的文件中。接下来,我打开了递归模式并关闭了提示,这样我就可以在共享中一次看到所有文件,并下载我想要的文件,而不会被提示继续。
NoActive墓碑 v1.7-Alpha-Xposed模块.zip
08-30
"NoActive墓碑 v1.7-Alpha-Xposed模块.zip" 这个标题揭示了我们正在处理一个特定版本的软件模块,名为"NoActive墓碑",其版本号为v1.7-Alpha。这个软件是设计用于Xposed框架的一个插件或模块。Xposed框架是一个在...
HTBActive渗透测试
MSB_WLAQ的博客
09-30 747
基础信息 简介:Hack The Box是一个在线渗透测试平台。可以帮助你提升渗透测试技能和黑盒测试技能,平台环境都是模拟的真实环境,有助于自己更好的适应在真实环境的渗透。 链接:https://www.hackthebox.eu/home/machines/profile/113 描述: 注:没有网络安全就没有国家安全,以巩固国家安全防护为由对于该计算机进行渗透,所有行为都是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的.
HTB——introduction to active directory
qq_55202378的博客
11-06 167
active directory
No.6-Active-难度简单-HTB-walkthrough
weixin_43851945的博客
02-10 493
No.6-Active-难度简单-HTB-walkthrough 攻击机:官方Kali linux 2019 64位 作者:Ikonw 靶机介绍 一,端口扫描 这边我用的是我在OSCP时候用的一个脚本工具(懒惰) nmapAutomator ./nmapAutomator.sh 10.10.10.100 Full 除了53和445并没有什么特别能交互的端口 Starting Nmap 7.8...
HackTheBox 如何使用
网络安全学习
04-14 4768
如何开始? 1.到官网注册一个账号 https://www.hackthebox.com/ 2.验证自己的邮箱 3.下载 openvpn 4.到左边的 labs 实验室开始学习或直接点击 start point 5.点击想要完成的靶机,比如第 0 层的第一个靶机,选择 connnect to htb 选择 openvpn 会自动下载 openvpn 的文件,然后用 openvpn 导入,稍等一下即可连接 在 kali(linux)中如何连接? 同样是执行下载的文件 ┌──(root💀kali)-[~/d
ActivePerl-5.22.3.2204-MSWin32-x64-401627
最新发布
05-04
标题“ActivePerl-5.22.3.2204-MSWin32-x64-401627”所指的是一款适用于Windows操作系统64位平台的ActivePerl版本,具体版本号为5.22.3,内部构建编号401627。ActivePerl是Perl编程语言的一个流行的、预编译的二进制...
ActivePerl-5.24.3.2404-x86_64-linux-glibc-2.15-404865.tar.gz
01-14
ActivePerl是由ActiveState公司维护的Perl解释器,它为Windows、Mac OS X和各种Linux/Unix系统提供了预编译的Perl二进制版本,方便开发者在这些平台上使用Perl。 描述中的"ActivePerl-5.24.3.2404-x86_64-linux-...
perl编译器-ActivePerl-5.8.0.806-MSWin32-x86.msi
01-12
ActivePerl-5.8.0.806-MSWin32-x86.msi,perl的安装程序,Perl是一种通用编程语言。凡是其他编程语言能够使用的地方,都有它的用武之地。在各行各业中,它已经被用于你能够想像到的各种各样的任务的处理。它已经用于...
ActivePerl-5.28.1.0000-MSWin32-x64-432e1938.msi
11-11
ActivePerl-5.28 ActivePerl-5.28.1.0000-MSWin32-x64-432e1938
CTF:我的CTF [Capture The Flag]笔记的集合。 这些CTF包括TryHackMe [THM],HackTheBox [HTB]和ETC [等等,所有其他CTF也在此处列出]。 该存储库还包括King of the Hill活动
05-13
周大福 我的CTF [Capture The Flag]笔记的集合。 这些CTF包括TryHackMe [THM],HackTheBox [HTB]和ETC [等等,所有其他CTF也在此处列出]。 该存储库还包括King Of The Hill事件。
Hack The Box -----------------------Active
大方子
12-16 6982
这次的靶机是HacktheboxActive 靶机IP地址:10.10.10.100 ======================================================================================== 信息收集 nmap -sV -sT 10.10.10.100  Kerberos在88,netbios-ssn在13...
hackthebox - active (考点: smb 利用 & 域票kerberoasting)
冬萍子癸水
05-11 648
1 扫描 nmap常规扫,88的kerberos想到域,跟hackthebox这台考域的靶机forest 有类似处了。139&445想到smb利用。389 ldap想到可能有ldap扫描。 389提示domian是active.htb。我们也先把自己的/etc/hostsdns地址加上10.10.10.100 active.htb方便可能的关联。 Not shown: 986 closed ports PORT STATE SERVICE VERSION 88/tcp o
【Hack The Boxwindows练习-- Active
人间体佐菲的博客
11-01 303
【Hack The Boxwindows练习-- Active
HTB系列】靶机Mischief的渗透测试详解
大方子
01-06 3267
这次的目标靶机是 hackthebox的 Mischief IP地址:10.10.10.92 ====================================================================================== 首先我们用nmap对目标机器进行扫描 nmap -T4 -sV -p- 10.10.10.92 我们访...
linux host move指令,每天一个linux命令(12):more命令
weixin_42382398的博客
05-14 485
1、命令简介more(more) 该命令一次显示一屏文本,满屏后停下来,并且在屏幕的底部出现一个提示信息,给出至今己显示的该文件的百分比,方便逐页阅读(file perusal filter for crt viewing) 。more名单中内置了若干快捷键,按空白键(space)就往下一页显示,按 b 键就会往回(back)一页显示,而且还有搜寻字串的功能(与 vi 相似),使用中按h可以查看说...
hackthebox如何获取邀请码以及配置
Oavinci的博客
02-13 7989
Hack The Box是一个在线平台,注册需要有邀请码 https://www.hackthebox.eu/invite 在console输入 makeInviteCode()得到一串base64 解码得路径: In order to generate the invite code, make a POST request to /api/invite/generate ...
Hackthebox------Jerry
大方子
11-24 3084
hackthebox网站:https://www.hackthebox.eu   这次我们的靶机叫-Jerry IP:10.10.10.95   ====================================================================================== 1.先用nmap对 目标靶机进行扫描 nmap -sC -sV...
NoActive墓碑v1.7-Alpha版Xposed模块发布
资源摘要信息: "NoActive墓碑 v1.7-Alpha-Xposed模块.zip" NoActive墓碑模块是基于Xposed框架开发的一个Android平台上的应用,用于模拟系统崩溃并记录相关进程信息,通常用于应用调试和系统测试。该模块的主要功能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值