这台靶机方法尽可能也多参考别人的。
我的只是一种方法,其实还有几种很方便的工具比如aclpwn&ntlmrelayx.py,但是无奈我的kali32位2018,对这些和bloodhound等从头到尾不断报错。。。花了很久时间找原因及修复。。吐血了。。。
最后bloodhound用的win版和kali2020版正常,但在kali2020那些py或aclpwn执行还是不断报错。虽然通过uninstall python包再重装最新的,可以运行了,,但运行又报连不上的错。。。无语。。。唉,其实aclpwn很方便的。我还要再琢磨怎么不报错。。。
nmap
PORT STATE SERVICE VERSION
53/tcp open domain?
| fingerprint-strings:
| DNSVersionBindReqTCP:
| version
|_ bind
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2020-04-16 10:45:05Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: htb.local, Site: Default-First-Site-Name)
445/tcp open microsoft-ds Windows Server 2016 Standard 14393 microsoft-ds (workgroup: HTB)
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: htb.local, Site: Default-First-Site-Name)
3269/tcp open tcpwrapped
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp open mc-nmf .NET Message Framing
47001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49664/tcp open msrpc Microsoft Windows RPC
49665/tcp open msrpc Microsoft Windows RPC
49666/tcp open msrpc Microsoft Windows RPC
49667/tcp open msrpc Microsoft Windows RPC
49671/tcp open msrpc Microsoft Windows RPC
49676/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49677/tcp open msrpc Microsoft Windows RPC
49684/tcp open msrpc Microsoft Windows RPC
49706/tcp open msrpc Microsoft Windows RPC
49904/tcp open msrpc Microsoft Windows RPC
发现88,389这些端口,端口后面都写啦是域了,那么很明显这就是个域渗透考点。而且靶机名也叫forest森林呢,树木森林之间就是域吧。。
先备好必要域渗透的工具包bloodhound和这个powerview以及专门扫域用户和hash以及破解的py工具(来自impacket)。
如果这个靶机没有开启Kerberos pre-authentication,就可以拿impacket工具来破解密码。
我kali2018里自带的bloodhound有问题,拖zip时读不出来。kali2020没有自带。如果你们也有问题的话从这里面新装neoj4 + bloodhound。自己选择win或linux。neoj4是需要java环境的。
科普:
域渗透
Kerberos
还有很多很多。。。理解起来很绕很烧脑的。
先找域用户:
很多工具和方法
rpcclient -U "" -N 10.10.10.161
enumdomusers
或者impacket包里
GetADUsers.py -all