信息收集
nmap
注意有smb。
NETLOGON
Shares
SYSVOL
开机
winRM
服务是windows server
下PowerShell
的远程管理服务
,并且需要密码。
先用zip2john
获取ziphash
,再用john
破解。
密码:supremelegacy
.pfx
是什么文件呢。
包含有公钥和私钥?
通过kali tool
找到了一个对应的john
转成hash
用john
找到hash
密码,以方便下一步使用,因为我已经弄过一次john
所以只需要显示出来就可以。
密码thuglegacy
现在有了私钥,还缺少登录的条件么?如果齐了该怎么登陆?
在kali tools又找到了一个程序。
可以看到如果不使用kerberos
,则需要用户名。
网上搜寻怎么不用凭证登录无果后决定尝试其他办法。
如果我使用证书和私钥登录会怎么样?尝试一下吧,不加-S会出现需要凭证。
因为我没搜索到合适的用法,只能试着来。
提权
收集一下信息,比如powershell历史,本用户文件内是不是还有其他可以利用文件。
用Get-History
。
用Get-PSReadlineOption
。
但是使用的时候却不存在,去看看里面有什么。
看到了PS
的历史记录,注意标红那些字符E3R$Q62^12p7PLlC%KWaxuaV
。这个ConvertTo-SecureString字如其名,就是把后面的转化为安全字符,而后面的字符是什么呢,会不会是某个用户的密码。
用net user查看用户的时候有了新发现,会不会是svc_deploy
用户的密码。
查询了一下此用户的组和权限。
简单了解一下LAPS。
“本地管理员密码解决方案”(LAPS)提供对加入域的计算机的本地帐户密码的管理。密码存储在Active
Directory(AD)中,受ACL保护,因此只有符合条件的用户才能读取密码或请求重置密码。
在搜索相关信息的时候找到一个脚本。
然后执行脚本。
使用获取的密码登录administrator
。
递归查询发现没有找到需要的文件。
最后找到了文件。