Hack The Box - Cascade

于 2024-08-28 19:43:16 发布
阅读量306 收藏 16
点赞数 12
分类专栏: Hack The Box 文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51845659/article/details/141635223
版权

拿到目标进行端口扫描

nmap -sV -sC 10.10.10.182

整理一下有价值的端口和服务:
53:DNS域名解析服务
88:Kerberos域身份认证
389:ldap目录服务
445:smb文件和打印共享

提供Kerberod服务,这可能是一个windows系统的域控制器

匿名登录尝试一下smb获取信息。

没有存储任何共享资源,没什么有价值的信息。

使用windapsearch工具尝试LDAP 查询枚举 Windows 域中的用户、组和计算机。

获取windapsearch:
git clone https://github.com/ropnop/windapsearch.git
安装依赖
pip install python-ldap

 我们用windapsearch工具查询所有AD域用户的详细信息

./windapsearch.py -U --full --dc-ip 10.10.10.182

枚举后,分析获取的信息
发现Ryan Thompson用户存在userPrincipalName和cascadeLegacyPwd属性

cascadeLegacyPwd: clk0bjVldmE=
Base64解码结果:rY4n5eva

 尝试用这个账户进行远程登录失败

尝试用此账号登录smb失败,能看到smb文件目录。

smbclient -L 10.10.10.182 -U r.thompson
Password for [WORKGROUP\r.thompson]:rY4n5eva

尝试使用smbmap查看可以访问哪个smb共享

smbmap -H 10.10.10.182 -u r.thompson -p 'rY4n5eva'

发现自定义共享Data是可读的,连接后找一下可利用的信息

/IT/Logs/DCs 目录下存储着dcdiag.log日志文件

下载查看一下,内容很常规,暂时不管

另外在/IT/Logs/Ark AD Recycle Bin 目录下存储着ArkAdRecycleBin.log日志文件

下载查看,记录了移除TempAdmin对象到回收站的日志

 /IT/Email Archives 目录下存储着Meeting_Notes_June_2018.html文件

里面记载着临时用户TempAdmin的口令和管理员口令相同

另外在\IT\Temp\s.smith目录下有一个VNC注册表文件

了解到是TightVNC,并且给了密钥的十六进制形式,VNC使用硬编码的 DES 密钥来存储凭据

frizb/PasswordDecrypts:方便的存储密码解密技术 (github.com)

这里利用msf工具进行解密

msfconsole
irb

key="\x17\x52\x6b\x06\x23\x4e\x58\x07"
require 'rex/proto/rfb'
Rex::Proto::RFB::Cipher.decrypt ["6BCF2A4B6E5ACA0F"].pack('H*'), key

成功解密得到口令 sT333ve2

由于这个口令是在s.smith用户目录下获取的,因此猜测是一套账号口令,尝试远程登陆

ruby evil-winrm.rb -i 10.10.10.182 -u s.smith -p sT333ve2

登录成功,下面进行提权

查看当前用户s.smith的用户组信息

s.smith 登录时,会运行MapAuditDrive.vbs脚本

这个用户属于Audit Share用户组,所以访问一下smb的Audit共享文件夹

下载RunAudit.bat批处理文件查看一下内容

内容是调用 CascAudit.exe 可执行文件,目标是访问\\CASC-DC1下的Audit$共享,路径为DB\Audit.db的数据库文件。

下载Audit.db数据库文件,并查看其中存储的信息

有一个Ldap表中存储着用户名口令以及对应的域信息,口令base64解密为乱码,应该是被加密了

CascAudit.exe执行了某些操作指向了数据库的这个字段,我们用dnSpy对exe文件进行反编译

调用了Crypto.DecryptString方法对数据库的pwd字段进行了解密。exe中并没有说明这个方法如何实现的,可能是通过DLL文件加载的。在smb共享文件夹中,同目录下有一个CascCrypto.dll很有可能就包含实现方法。我们下载下来同样用dnSpy进行反编译一下。

发现是在用AES-CBC对称算法对其进行解密,在CascAudit.exe中,我们获取了密钥KEY,这里又获取了初始向量IV

key:c4scadek3y654321
iv:1tdyjCbY1Ix49842

我们用python写一个解密脚本

运行一下,解密得到pwd:w3lc0meFr31nd

现在我们拥有了一个用户的账号口令

user: arksvc
pwd:  w3lc0meFr31nd

 查看一下远程管理用户组中的成员是否包含这个用户

确认后,使用arksvc进行登录,列举当前用户组成员

arksvc属于AD Recycle Bin组,能够恢复被删除的Active Directory用户对象

前面提到的的ArkAdRecycleBin.log日志中,记录了删除的过程,我们查看一下回收站

下列命令用于检索已被删除的用户对象

Get-ADObject -ldapfilter "(&(objectclass=user)(isDeleted=TRUE))" -IncludeDeletedObjects

发现了日志中提到的TempAdmin用户,再进一步获取更多关于TempAdmin的信息

Get-ADObject -ldapfilter "(&(objectclass=user)(DisplayName=TempAdmin)(isDeleted=TRUE))" -IncludeDeletedObjects -Properties *

其中有一个字段为cascadeLegacyPwd存储着base64编码后的密码

解密得到真正的明文口令,Meeting_Notes_June_2018.html文件中提到这个被删除的临时用户TempAdmin的口令和管理员口令相同,所以尝试用这个口令登录管理员账号

成功拿下!

TCXY
关注
  • 12
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hack The Box 系列域渗透之靶机Cascade
小王的储物间
02-03 513
本小白最近在学域渗透,决定把Hack The Box的Active Directory 101系列域渗透靶机打完,并详细记录当中用到的工具、知识点及其背后的原理。本篇文章是该系列的第八篇,靶机名字为Cascade。首先我们通过ldap进行信息搜集,发现了r.thompson用户的密码,通过访问r.thompson用户可以查看的SMB共享,我们获得了一封邮件以及用户s.smith用户的VNC密码(被加密了),后续我们通过Google找到了可以破解该密码的工具并成功得到。
detectron2系列:config软件包
深度学习与计算机视觉
09-03 1346
classdetectron2.config.CfgNode(init_dict=None,key_list=None,new_allowed=False) 源代码:https:...
0x0D-HackTheBox-Cascade
0pr
05-07 1808
Command History Reference masscan - effective nmap - windows machine, smb2 message signing on and required, rpc service on - effective rpcclient - logged in as anonymous user - effective rpcclient - e...
No.191-HackTheBox-windows-Cascade-Walkthrough渗透学习
qq_34801745的博客
08-23 510
** HackTheBox-windows-Cascade-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/235 靶机难度:初级(4.7/10) 靶机发布日期:2020年7月20日 靶机描述: Cascade is a medium difficulty Windows machine configured as a Domain Controller. LDAP anonymous binds are enabled
PDF转markdown工具:magic-pdf
AI知识搬运工
08-13 596
将magic-pdf.template.json文件修改为magic-pdf.json放在系统目录,不同的系统默认目录不同,测试使用cpu执行,内存16g,3页pdf解析大概2分钟, 页数过多会崩掉。有些公式好像解析的不太对,整体可用。可以是单个 PDF 文件,也可以是包含多个 PDF 的目录。结果将保存在目录中。magic-pdf.template.json 中models-dir修改为模型的下载路径。
二级下拉菜单 CSS+XHTML代码
zc2087的专栏
10-09 1279
二级下拉菜单 CSS+XHTML代码<!-- /* common styling */ /* Set up the default font and ovrall size to include image */ body { background: #fff; font-family: "Lucida Grande", Helvetica, Ari
入门静态网页
jontyy的博客
01-17 3456
闲来无事,做了一个基础的静态网页,网页的基本功能是 1:介绍南通三处景点,以及首页介绍,总共七个小页面 2:点击web顶部四个按钮可以进行跳转至规定的页码,点击右下角的下一页图标跳到下一页 3:有一些基础的动画,比如hide,show 以下分别为html,css,js代码   &lt;!DOCTYPE html&gt; &lt;html lang="en"&gt; &lt;hea...
前端代码规范及风格 Code Guide
酒遥的博客
10-04 1035
前端 Code Guide命名规则项目命名目录命名JS文件命名CSS,SCSS文件命名HTML文件命名HTMLHTML doctypelang属性charset 字符编码IE兼容模式引入CSS,JSHTML5规范链接属性顺序boolean属性JS中生成标签减少标签数量实用高于完美CSS,SCSS通识缩进分号空格空行换行注释引号命名颜色选择器属性顺序属性简写媒体查询SCSS相关杂项JavaScript通识缩进单行长度分号空格空行换行单行注释多行注释文档注释引号变量命名函数数组、对象括号nullundefine
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8422
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
08-23 1482
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
2024年入职/转行网络安全,该如何规划?_网络安全职业规划
2401_85023531的博客
08-23 1209
前段时间,知名机构麦可思研究院发布了《2022年中国本科生就业报告》,其中详细列出近五年的本科绿牌专业,其中,信息安全位列第一。
网络安全(黑客)自学
白帽子凯哥聊黑客
08-22 1448
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全售前入门01——产品了解
打工人
08-23 643
为方便初入网络安全售前工作的小伙伴了解网安行业情况,我制作一系统售前入门(安全产品,安全服务,法律法规等)介绍,希望能给初进职场小伙伴提供一点帮助。
网络安全威胁2024年中报告
2301_76786857的博客
08-24 212
未知威胁组织(UTG)也对新能源、低轨卫星、人工智能等领域构成威胁。0day 漏洞利用:上半年 0day 漏洞数量达25个,攻击焦点从传统三巨头(微软、谷歌、苹果)转向边界设备,且攻击者在尝试新攻击角度。互联网黑产:不法分子利用网络技术形成黑色产业链,攻击手法多样,目标包括 IT 运维人员、线上考试系统等,目的为获取经济利益。勒索软件:全球勒索软件家族数量众多,新型变种频出,采用“双重勒索”模式,利用漏洞、恶意软件等手段进行攻击。,内容涵盖高级持续性威胁(APT)、勒索软件、互联网黑产、漏洞利用等几方面。
网络安全系统性学习路线「全文字详细介绍」
HUANGXIN9898的博客
08-27 860
🤟 基于入门网络安全打造的:👉黑客&网络安全入门&进阶学习资源包 一、基础与准备 网络安全行业与法规 想要从事网络安全行业,必然要先对行业建立一个整体的认知,了解网络安全对于国家和社会的作用,避免出现“一叶障目,不见森林”的情况。 Linux 操作系统(网安) 很多初学者也常忽略Linux的重要性,认为学习的重头戏在框架等方面,但其实Linux也是重中之重。 计算机网络基础 计算机网络基础是网络/运维工程师都需掌握的知识,但往往会被忽略。但是它是非常重要的。 HTML(
网络安全之渗透测试实战-DC-3-靶机入侵
最新发布
DoubleJing的博客
08-27 655
(2)但是目标主机处于内网环境是不可以被外网直接访问,只能主动将shell反弹出来.这种方式称作反弹shell,反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端,本质上是网络概念的客户端与服务端的角色反转。Web指纹定义:Web指纹是一种对目标网站的识别技术,通过识别网站所使用的服务器、运行的脚本、安装的CMS等信息对目标进行精准的分类和定位。获取本网段的主机信息,根据MAC地址比对来获取DC-3的IP地址。
医疗器械网络安全
kerwin的专栏
08-20 741
本文根据《医疗器械网络安全注册审查指导原则(2022年修订版)(2022年第7号)》,对医疗器械网络安全进行部分解读,根据自己的理解以及市检测所,省检测所培训与反馈的信息,列举出网络安全软件开发设计,文档编写时的注意事项。文档官方下载地址:国家药品监督管理局医疗器械技术审评中心医疗器械网络安全注册审查指导原则(2022年修订版)(2022年第7号)随着科技的发展,网络安全越来越重要,对于医疗器械也是一样,相关的法规与注册要求会越来越严格。不管是个人还是企业都需要加强网络安全的意思,提升网络安全相关的能力。
region-cascade
08-26
region-cascade是一个支持设置行政编码和可选权限的中国行政区划级连下拉框。它是基于React开发的,可以通过打包成可在浏览器中执行的JS插件来使用。通过使用region convolution技术,region-cascade实现了深层级联的功能。此外,region-cascade还支持bounding box的回归,并在卷积层后增加了一个回归分支。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [region-cascade:中国行政区划级连下拉框,支持设置行政编码,设置可选权限](https://download.csdn.net/download/weixin_42127748/18855579)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [region-conv:并非所有像素均相等](https://download.csdn.net/download/weixin_42127783/18791599)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [论文阅读《R-FCN: Object Detection via Region-based Fully Convolutional Networks》](https://blog.csdn.net/AmbitionalH/article/details/120267888)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值