主机发现与端口扫描
通过nmap进行端口扫描,发现了18个开放端口。
特别注意到存在(Kerberos + LDAP + DNS + SMB)这样的端口组合,
提示可能是域控制器dc01.timelapse.htb,并且系统为Windows系统。
爆破SMB
使用crackmapexec对SMB进行爆破,
但未找到可利用信息。
随后使用smbclient进行连接,发现了一些默认共享和可能的新增共享,
进一步使用crackmapexec获取信息,
并发现了shares共享目录。通过smbclient成功读取了文件,
并发现了一个压缩包。
分析文件与爆破压缩包
在HelpDesk中发现了关于LAPS的文件,介绍了本地管理员密码解决方案。
使用unzip -l查看压缩包内容,然后使用unzip解压,
发现存在密码验证。
使用zip2john生成hash并使用john进行爆破,
成功找到密码并解压压缩包。
提取密钥
获取到.pfx文件,需要密钥验证。
使用pfx2john.py生成hash并用john进行爆破,
成功提取密钥和证书。使用原始密码操作,提取了密钥和证书。
远程连接与获取user.txt
使用evil-winrm进行远程连接,
提供了SSL、公钥证书和私钥等参数。
成功连接后,找到Desktop下的user.txt文件并获取第一个flag。
检查权限与读取密码
通过net use查看用户权限,
通过whmai /priv查看用户所属的组。
检查PowerShell历史文件,
发现了一些用户的远程连接记录,包含用户名和密码。
寻找root.txt与获取
通过新的用户名和密码进行第二次远程连接,查看用户分组和权限。
发现svc_deploy有权从LAPS进行读取,
通过Get-ADComputer获取ms-mcs-admpwd属性成功读取密码。
使用administrator和新密码进行登录,找到root.txt。
总结
靶机主要通过nmap端口扫描发现目标,使用crackmapexec进行爆破并通过smbclient获取信息。进一步分析文件内容,并使用zip2john和pfx2john.py工具进行hash爆破,最终成功获取到密钥和证书。通过evil-winrm进行远程连接,最终找到了user.txt和root.txt文件。
暂无评论内容