再次检查各个用户的文档,发现两个域名指回10.200.29.232.
这里把域名添加回hosts文件以后可以访问这两个网站。
到这步指引,Throwback是想教我们这个对目标的信息泄露会用到领英。但是领英不仅有道墙,而且我还没氪金变成高级会员导致搜索他们这个公司名的时候还看不了他们的名称。没办法只能看答案了。这里在Github上搜索219公司介绍的员工名发现他也有自己的小博客和代码放在上面。
其中打开Throwback-Time点开其中的数据库连接文件,可以看到存在着一个账号。
由于现在我们要对corporate.local域内进行攻击了。我们得把代理转移到corporate的DC上。还是类似的方法,先把之前的路由删掉,重新填入新的会话然后执行。
重新配置好代理以后拿着刚才得到的DaviesJ用户密码对域内的主机进行碰瓷,最后发现.243(ADT01)可以登录成功。
故技重施,远程登录成功以后发现文档又有另外一个通知。这里写着如果想进入员工邮箱的话格式是职位-姓名@TBHSecurity.com。
为了收集尽可能多的员工姓名职位这里会用到leetlinked的python脚本,但是需要魔法配合。
跑完以后收集到一下用户名和职位,需要自己配合改装。
把该账号放到邮箱以后可以登录成功获得一个账号密码。应该就是最后的Windows.79
远程登录成功以后再次传一个adPEAS上去。这次收割到了一个TBService的票据。
放到hashcat里面进行解密最后得到密码为securityadmin284650,可以成功登录。
原文始发于微信公众号(神隐攻防实验室):网络安全红队内网基础靶场:Throwback04(信息挖掘和利用,配置代理,Kerberos攻击)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1054434.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论