爆破子域名
发现http://school.flight.htb web页面有文件包含
查看源码,源码泄露
responder监听,使用 / 代替 绕过blocked,在windows的web页面是允许的
responder工具出现以下情况时
第一种方法
rm /usr/share/responder/Responder.db
第二种方法
sqlite
sqlite3 Responder.db .dump
截取完,hashcat破解
爬取users,准备密码喷洒
截取users部分,最后使用vim去除多余部分
使用--continue-on-success,爆破完全
发现s.moon对Shared有写的权限
使用ntlm_theft工具生成大批文件,上传时,触发资源管理器,使用responder抓取哈希
破解哈希
发现c.bum用户对web目录有写的权限
上传一个php木马和nc64.exe,获得反弹shell
chisel端口转发,获取8000端口流量
chise使用方法
8000端口web页面
三、提权:
通过development字样和index.html等文件,大概率这是一个web文件目录,而且可能是我们访问不了的8000端口尝试上传反弹shell脚本
上传aspx reverse shell,通过curl触发
生成tgt票据,准备提权
base64解码后,kirbi2ccache.py
`kirbi2ccache.py` 是一个用于处理 Kerberos 票据的 Python 脚本工具。它的主要作用是将 `.kirbi` 文件(通常是从某个 Kerberos 认证过程中获取的票据文件)转换为 `.ccache` 文件(Kerberos 票据缓存文件)
生成的 `.ccache` 文件可以与其他支持 Kerberos 的工具和应用程序兼容使用,方便在不同的环境中进行身份验证。(如`impacket` 套件中的 `psexec.py`)
检查生成文件,都有flight.htb和Krbtgt等字样,检查无误
在Kerberos环境中,`KRBSCCNAME`变量通常用于指定Kerberos票据缓存文件的路径或名称
设置环境变量 `KRB5CCNAME`,指定 Kerberos 票据缓存文件为 `ticket.ccache`
其中impacket-psexec 帮助文档中-k参数也提到了KRB5CCNAME环境变量
指定impacket脚本前,需要同步htb机器时间,使用ntpdate 域名或者ip
提权成功
原文始发于微信公众号(泷羽sec-siznwaa):Flight(超多知识点,超难)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论