**
HackTheBox-windows-Forest-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/212
靶机难度:中级(4.6/10)
靶机发布日期:2020年3月17日
靶机描述:
Forest in an easy difficulty Windows Domain Controller (DC), for a domain in which Exchange
Server has been installed. The DC is found to allow anonymous LDAP binds, which is used to
enumerate domain objects. The password for a service account with Kerberos pre-authentication
disabled can be cracked to gain a foothold. The service account is found to be a member of the
Account Operators group, which can be used to add users to privileged Exchange groups. The
Exchange group membership is leveraged to gain DCSync privileges on the domain and dump the
NTLM hashes.
作者:大余
时间:2020-05-06
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.161…
可以看到该计算机是HTB.LOCAL域的域控服务器…
nmap发现开放了很多端口…这里重要的是SMB(445),Kerberos(88),LDAP / S(389/636)和WinRM(5985)等…
命令:enum4linux -a forest.htb
利用enum4linux枚举windows系统信息…(非常好的工具),可看到枚举了所有信息,其中包含了所有的用户名…
命令:cat user.txt | awk -F ":" '{print $5}' | awk -F " " '{print $1}' > userlist.txt
将所有信息复制到文本,通过awk筛选出重要信息即可…清晰的得到了所有存在的用户名列表…
这里针对AD域的环境,还可以利用rpcclient(kali自带)、JXplorer、MSF的smb_enumusers模块等等方法枚举到信息…
小伙伴们可以全部尝试一遍…
命令:./GetNPUsers.py HTB/ -usersfile userlist.txt -no-pass -dc-ip forest.htb
通过整理好的用户名列表,利用Kerberos理论中介绍的impacket-GetUserSPNs进行了预身份认证… (这里介绍Kerberos是里面还包含了很多方法,供大家累积)
最后一个svc-alfresco用户返回了hash密匙凭证…
命令:hashcat -m 18200 hash.txt rockyou.txt --force
利用hashcat工具rockyou字典爆破hash值,获得了密码…(这里也可以利用开膛手爆破)
通过winRM服务,利用Evil-WinRM工具进行成功登陆,并获得user信息…
命令:Invoke-Bloodhound -collectionmethod all -domain htb.local -ldapuser svc-alfresco -ldappass s3rvice
由于是AD域环境,最快获取AD域中特权关系利用SharpHound.ps1来获得提权图形化界面包…
成功获得了包含域信息的zip文件…下载到本地…
前提需要部署BloodHound环境,apt update && apt install bloodhound -y 下载即可…后续自行摸索
命令:neo4j console 启用 bloodhound
通过前面获取的域信息文件…拖入BloodHound中,展示了路线图…查找管理员的最短路径…
通过展示和优化查找…BloodHound提供了最有路线和方法…
该路径显示,从当前的svc-alfresco帐户中,可以使用“服务帐户”组的成员身份。“服务帐户”的每个成员都继承“特权IT帐户”组的权限。“特权IT帐户组”的每个成员也是“帐户运营商”的成员。“帐户操作员”享受与“ Exchange Windows权限”相关的所有权限,基本上就是所有权限…
Exchange Windows权限组对Active Directory中的Domain对象具有WriteDacl访问权限,这意味着该组的任何成员都可以修改域特权!!!非常重要的信息…
以及方式方法都列举了出来…
命令:
$pass = ConvertTo-SecureString "password" -AsPlainText -Force
New-ADUser dayu -AccountPassword $pass -Enabled $True
Add-ADGroupMember -Identity "Exchange Windows Permissions" -members dayu
net group 'Exchange Windows Permissions'
这里可以创建新的用户名…dayu
命令:net group "Exchange Windows Permissions" svc-alfresco /add
也可以利用自身用户名创建…
或者利用net user等等方法,只要可以创建都可以利用原则上的思路进行…
前面可以看到svc-alfresco已经是“ SERVICE ACCOUNTS”组的成员,并且该组本身属于“ PRIVILEGED IT ACCOUNTS”组,后者属于“ ACCOUNT OPERATORS”组…
只需将其添加到“ EXCHANGE WINDOWS PERMISSIONS”组中,然后为其赋予DCSync权限…
DCSync是一种旨在通过执行以下操作来转储域用户的标识符的攻击…需要深入了解的google…
命令:aclpwn -f svc-alfresco -ft user -d htb.local
需要提前部署pip install aclpwn…
利用Aclpwn使用Sharphound生成的转储通过Active Directory中的关系自动提升用户…
或者利用Bloodhound提供使用Powersploit项目中的PowerView的功能…(需要上传PowerView…然后打通HTB域即可)
还是利用了aclpwn…可以看到aclpwn发现了两种提高svc-alfresco的方法…成功更新了组策略…
命令:secretsdump.py svc-alfresco:s3rvice@forest.htb
这里可以利用很多方法,例如可以直接在目标上使用Mimikatz,也可以在Impacket中使用Invoke-DCSync或secretsdump.py,还有ntlmrelayx.py等等…
这里我运行secretsdump.py来执行DCSync并拉回哈希值…
利用evil-winrm获得的administrator哈希值成功获得了root信息…
还可以利用psexec和wmiexec等多种方法进行登录…
需要深入的小伙伴还可以利用前面获得的各种用户的hash值进去深入了解一些信息…还有一些有趣的信息…
这是一台评分中级的靶机,作者却给了easy的评价…我的感觉简单到中级之间吧~~
学到了挺多的…
现在做一台少一台…越来越珍惜环境…希望能用各种不同的方法来拿下一台靶机…加油~~~
由于我们已经成功得到root权限查看user.txt和root.txt,因此完成这台中等的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
611
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
