HackTheBox-windows-Active

一、信息收集

可以看到靶机的IP是10.10.10.100.....

Nmap揭示了一个域为Active Directory安装的active.htb，Microsoft DNS 6.1正在运行，它允许nmap将域控制器指纹识别为Windows Server 2008 R2 SP1， 端口445也打开着，继续进一步的执行nmap SMB脚本查看...

nmap --script=safe -p 445 10.10.10.100

可以看到SMB2版本正在运行，并且连接到它的所有客户端都已启用，还需要消息签名，试试SMB中继攻击...

前面nmap139上看到打开了netbios-ssn，利用smbmap查看存在的目录情况，然后以匿名方式访问共享Replication，但是目录太大，我通过别的方式查看所有文件信息...

active.htbPolicies{31B2F340-016D-11D2-945F-00C04FB984F9}MACHINEPreferencesGroups

在gropu目录下发现了Groups.xml ，文件是可逆格式存储着，存在用户名密码...

smbmap -R Replication -H 10.10.10.100 -A Groups.xml -q

通过命令下载，然后查看找到一个用户名和一个加密的密码...

二、提权

cpassword是组策略密码，学习链接：

https://adsecurity.org/?p=2288  （简称GPP）

这里需要解密gpp，使用gpp-decrypt工具即可

解密成功...

通过凭证登陆到users目录下，查看到user内容...

回看前面nmap发现开放了88端口运行了kerberoas服务，下面运行kerberoasting技术进行获取root信息...

https://room362.com/post/2016/kerberoast-pt1/https://room362.com/post/2016/kerberoast-pt2/https://room362.com/post/2016/kerberoast-pt3/   kerberoasting学习资料

利用GetUserSPNs.py从impacket得到管理员Kerberos凭证...

python GetUserSPNs.py -request active.htb/SVC_TGS

获得了密匙凭证，直接通过john爆破即可...

john dayu.txt --wordlist=/usr/share/wordlists/rockyou.txt

通过爆破获得了管理员密码...

方法1：

smbclient -U administrator //10.10.10.100/Users

很简单，知道了管理员密码，直接利用smbclient登陆即可...

登陆后在桌面查看到了root信息...

方法2：

当然，一路走下来，我们都是利用smb共享的方式攻破了这台靶机，shell都没用上...

这边可以利用psexec和wmiexec都可以用于获取具有管理员级别访问权限的系统上的Shell...

演示个：

成功获得shell，进入到计算机中...

轻松获得了shell....获得shell后能进行什么操作就不多说了，进去看看就好...

提示下，psexec是个python文件，在本地直接使用我报了很多错，所以才直接利用msf的，一般在本地就可执行...不知道是不是新版kali的原因...

方法3：

python3 wmiexec.py active.htb/Administrator:Ticketmaster1968@10.10.10.100

利用wmiexec进行获得shell... 

方法4：

mount -t cifs //10.10.10.100/Users /mnt/smb -v -o user=SVC_TGS,pass=GPPstillStandingStrong2k18

这里利用挂载的方式在本地直接可以共享访问对方靶机的所有权限信息...

方法太多了这里...列举四个就好了...

如果觉得这篇文章对你有帮助，可以转发到朋友圈，谢谢小伙伴~

随缘收徒中~~随缘收徒中~~随缘收徒中~~

欢迎加入渗透学习交流群，想入群的小伙伴们加我微信，共同进步共同成长！

大余安全

一个全栈渗透小技巧的公众号

本文始发于微信公众号（大余安全）：HackTheBox-windows-Active