靶机信息
信息收集
可以看到主机开放了135,445,88这些常见的端口
可以匿名登录smb服务
我们看到存在一个Replication
的目录,我们尝试登录进这个目录看看。发现存在active.htb
目录,并且该目录下有几个有价值的目录信息
我经过细心查看后,只有在\active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups\
目录下找到一个Groups.xml
文件,经过查看这是一个组策略文件,用于帐户管理的组策略存储在域控制器上的“Groups.xml”文件中,该文件隐藏在 SYSVOL 文件夹中。
因为这个文件使用了特殊的算法进行加密的,所以我们可以使用gpp-decrypt.py
这个脚本进行解密,解密出来的结果如下图所示
有了账户和密码后,我们登录SMB服务可以查看更多的共享
我们使用账户密码访问Users共享
在桌面上找到第一个答案值
提权
我们使用rpcclient
枚举用户名和用户组
我们使用GetUserSPNs.py
脚本获取与普通用户帐户关联的服务主体名称。
GetUserSPNs.py -dc-ip 10.10.10.100 active.htb/SVC_TGS -request
我们获取到哈希值后,使用john来破解得到明文密码。
现在我们有了管理员的凭据后,可以先看看管理员可以访问哪些共享。可以看到,我们可以访问C盘的共享
我们使用账号密码登录进入C盘目录
并在桌面上查找到root.txt文件