深入HTB: Timelapse的渗透测试

主机发现与端口扫描

通过nmap进行端口扫描，发现了18个开放端口。

特别注意到存在(Kerberos + LDAP + DNS + SMB)这样的端口组合，

提示可能是域控制器dc01.timelapse.htb，并且系统为Windows系统。

爆破SMB

使用crackmapexec对SMB进行爆破，

但未找到可利用信息。

随后使用smbclient进行连接，发现了一些默认共享和可能的新增共享，

进一步使用crackmapexec获取信息，

并发现了shares共享目录。通过smbclient成功读取了文件，

并发现了一个压缩包。

分析文件与爆破压缩包

在HelpDesk中发现了关于LAPS的文件，介绍了本地管理员密码解决方案。

使用unzip -l查看压缩包内容，然后使用unzip解压，

发现存在密码验证。

使用zip2john生成hash并使用john进行爆破，

成功找到密码并解压压缩包。

提取密钥

获取到.pfx文件，需要密钥验证。

使用pfx2john.py生成hash并用john进行爆破，

成功提取密钥和证书。使用原始密码操作，提取了密钥和证书。

远程连接与获取user.txt

使用evil-winrm进行远程连接，

提供了SSL、公钥证书和私钥等参数。

成功连接后，找到Desktop下的user.txt文件并获取第一个flag。

检查权限与读取密码

通过net use查看用户权限，

通过whmai /priv查看用户所属的组。

检查PowerShell历史文件，

发现了一些用户的远程连接记录，包含用户名和密码。

寻找root.txt与获取

通过新的用户名和密码进行第二次远程连接，查看用户分组和权限。

发现svc_deploy有权从LAPS进行读取，

通过Get-ADComputer获取ms-mcs-admpwd属性成功读取密码。

使用administrator和新密码进行登录，找到root.txt。

总结

靶机主要通过nmap端口扫描发现目标，使用crackmapexec进行爆破并通过smbclient获取信息。进一步分析文件内容，并使用zip2john和pfx2john.py工具进行hash爆破，最终成功获取到密钥和证书。通过evil-winrm进行远程连接，最终找到了user.txt和root.txt文件。