HTB_Vintage(思路)

admin
admin
admin
138656
文章
114
评论
2024年12月9日13:53:09评论60 views字数 2062阅读6分52秒阅读模式

HTB_Vintage

windows(hard)

总结

HTB_Vintage(思路)
画了个流程图

1.给的初始凭证,P.Rosa,ldapsearch得到用户等域相关信息,保存结果为ldap.txt,先申请票据,再去进行bloodhound分析

2.发现至少要得到用户为l.bianchi(_adm),但同时发现Domain Computers组可读取gmsa01$的gmsa密码;通过ldap.txt发现fs01属于该组,但bloodhound没有发现这个用户

3.用pre2k可得到用户fs01$及其凭证,利用票据,bloodyADgmsa01$msDS-ManagedPassword属性,得到哈希,可得到 gmsa01$的票据

4.gmsa01$对servicemanagers组有权限,这个组又对svc_sql有genericall权限;

5.一旦gmsa01$添加进组,那么就可以对svc_*进行修改密码(方法1,bloodyAD set password),或者GetUserSPNs得到krb5密码(方法2,需要先设置DONT_REQ_PREAUTH),进而爆破

6.到后面会发现,最好用方法2,因为牵扯到密码喷洒,用kerbrute

7.得到c.neri用户,可用krb5进行evil-winrm登录

8.c.neri呢,通过dpapi,解密得到c.neri_adm

9.c.neri_adm可以将svc_sql加入进DELE组,(这里没明白,为什么可以?)

10.svc_sql冒充L.BIANCHI_ADM用户(getST),即拿到DOMAIN ADMIN组用户即可

1.用pre2kfs01$,(existence of pre-windows 2000 computer objects)

2.bloodyAD到底能干嘛

#添加进组python ~/htb/cer*/blo*/bloodyAD.py -u [user]-d vintage.htb --host dc01.vintage.htb -k add groupMember [group]#set object去添加SPN,set password 是修改密码;get object 就是查看属性python ~/htb/cer*/blo*/bloodyAD.py -k -d vintage.htb --host dc01.vintage.htb set object [user] servicePrincipalName -v 'yly/fakespn';#移除属性python ~/htb/cer*/blo*/bloodyAD.py -k -d vintage.htb --host dc01.vintage.htb remove uac -f ACCOUNTDISABLE [user];

3.大部分都是用的票据登录

4.为什么c.neri_adm可以对svc_sql有这个addgroup,我不清楚

主要是同步时间(sudo ntpdate),和dc01同步,不要只和ip同步,最好一次性执行完所有命令

最好和其它命令结合着一起使用,有时候bloodyAD提示 4003权限不足 ,可以多试几次,有时候并不是权限的问题,而可能是时间同步问题

/etc/hosts ,完全域名在前

10.10.11.45 dc01.vintage.htb dc01 fs01.vintage.htb fs01 vintage.htb

/etc/krb5.conf设置

[libdefaults]    default_realm = VINTAGE.HTB    dns_lookup_kdc =true    dns_lookup_realm =true[realms]    VINTAGE.HTB ={        kdc = dc01.vintage.htb        admin_server = dc01.vintage.htb}[domain_realm].vintage.htb = VINTAGE.HTB    vintage.htb = VINTAGE.HTB

参考

wp:群里师傅讨论+Dino师傅、qui113x、willington1765

https://github.com/garrettfoster13/pre2k

https://bloodhound.readthedocs.io/en/latest/data-analysis/edges.html

https://book.hacktricks.xyz/cn/windows-hardening/active-directory-methodology/asreproast

https://book.hacktricks.xyz/cn/windows-hardening/windows-local-privilege-escalation/dpapi-extracting-passwords?fallback=true

https://github.com/CravateRouge/bloodyAD/wiki/User-Guide

原文始发于微信公众号(羽泪云小栈):HTB_Vintage(思路)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月9日13:53:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HTB_Vintage(思路)http://cn-sec.com/archives/3483336.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息