Hack The Box——Sauna

最新推荐文章于 2023-08-10 11:32:20 发布
最新推荐文章于 2023-08-10 11:32:20 发布
阅读量3.8k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: HackTheBox靶机 文章标签: Hack The Box HTB-Sauna 渗透测试实例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_32261191/article/details/105234080

目录

简介

信息收集

端口扫描

Web信息收集

漏洞发现

生成社工字典

用户名枚举

弱口令枚举

漏洞利用

权限提升

系统信息收集

提权辅助

Hash转储

总结

简介

这台靶机虽然算简单,但是对首次接触Active Directory域渗透的我来说是比较难的。通过在网站发现的用户名构造字典利用kerberos协议枚举域内用户名,然后利用配置不当枚举域用户的密码,使用获取到的域用户和密码通过5985端口的远程管理服务登录域控主机获得域用户FSmith的Shell,接着使用提权辅助脚本发现域用户svc_loanmgr的密码,进而转储Administrator密码HASH,从而得到域管理员权限的Shell。

信息收集

端口扫描

使用nmap --min-rate 10000 -T5 -A -p1-65535 10.10.10.175扫描端口及服务发现开启的端口非常的多,如图:

Web信息收集

查看web服务各功能及源代码,未发现获得Shell的漏洞,网站时静态的,通过W3layouts生成,如图:

在About菜单下发现公司的一些人名,如图:

扫描网站目录也未发现有价值的线索,如图:

漏洞发现

枚举135端口无果,查看445端口的共享文件无果,然后看到88端口运行着kerberos服务,389端口和3268端口都运行着ldap服务,然后使用nmap -sV 10.10.10.175 --script ldap*.nse扫描ldap漏洞,结果如下:

Starting Nmap 7.80 ( https://nmap.org ) at 2020-03-31 09:53 EDT
Nmap scan report for 10.10.10.175
Host is up (0.36s latency).
Not shown: 989 filtered ports
PORT     STATE SERVICE       VERSION
53/tcp   open  domain?
| fingerprint-strings: 
|   DNSVersionBindReqTCP: 
|     version
|_    bind
80/tcp   open  http          Microsoft IIS httpd 10.0
|_http-server-header: Microsoft-IIS/10.0
88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2020-03-31 20:53:13Z)
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
445/tcp  open  microsoft-ds?
464/tcp  open  kpasswd5?
593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp  open  tcpwrapped
3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: EGOTISTICAL-BANK.LOCAL, Site: Default-First-Site-Name)
| ldap-brute: 
|   root:<empty> => Valid credentials
|   admin:<empty> => Valid credentials
|   administrator:<empty> => Valid credentials
|   webadmin:<empty> => Valid credentials
|   sysadmin:<empty> => Valid credentials
|   netadmin:<empty> => Valid credentials
|   guest:<empty> => Valid credentials
|   user:<empty> => Valid credentials
|   web:<empty> => Valid credentials
|_  test:<empty> => Valid credentials
| ldap-rootdse: 
| LDAP Results
|   <ROOT>
|       domainFunctionality: 7
|       forestFunctionality: 7
|       domainControllerFunctionality: 7
|       rootDomainNamingContext: DC=EGOTISTICAL-BANK,DC=LOCAL
|       ldapServiceName: EGOTISTICAL-BANK.LOCAL:sauna$@EGOTISTICAL-BANK.LOCAL
|       isGlobalCatalogReady: TRUE
|       supportedSASLMechanisms: GSSAPI
|       supportedSASLMechanisms: GSS-SPNEGO
|       supportedSASLMechanisms: EXTERNAL
|       supportedSASLMechanisms: DIGEST-MD5
|       supportedLDAPVersion: 3
|       supportedLDAPVersion: 2
|       supportedLDAPPolicies: MaxPoolThreads
|       supportedLDAPPolicies: MaxPercentDirSyncRequests
|       supportedLDAPPolicies: MaxDatagramRecv
|       supportedLDAPPolicies: MaxReceiveBuffer
|       supportedLDAPPolicies: InitRecvTimeout
|       supportedLDAPPolicies: MaxConnections
|       supportedLDAPPolicies: MaxConnIdleTime
|       supportedLDAPPolicies: MaxPageSize
|       supportedLDAPPolicies: MaxBatchReturnMessages
|       supportedLDAPPolicies: MaxQueryDuration
|       supportedLDAPPolicies: MaxDirSyncDuration
|       supportedLDAPPolicies: MaxTempTableSize
|       supportedLDAPPolicies: MaxResultSetSize
|       supported
最低0.47元/天 解锁文章

200万优质内容无限畅学
hackthebox—Sau
羽的博客
07-25 936
访问55555端口是个Request Baskets,这个存在一个ssrf漏洞,可以用现成的脚本来实现。fscan扫描ip发现存在22和55555,但是实际上这个fscan扫描的不全。不过这 靶机有点奇怪,直接反弹shell不行,但是可以写个sh,然后去执行sh。可以看到这个80页面是用Maltrail搭建的,那么直接搜下这个东西的漏洞。有三个端口,其中80应该是只能内网访问,看来需要借助ssrf了。在/home/puma下得到flag1,直接需要提权。点击这个设置,把要访问地址输上。
Impacket的使用
谢公子的博客
03-14 4714
Impacket Impacket是用于处理网络协议的Python类的集合,用于对SMB1-3或IPv4 / IPv6 上的TCP、UDP、ICMP、IGMP,ARP,IPv4,IPv6,SMB,MSRPC,NTLM,Kerberos,WMI,LDAP等协议进行低级编程访问。数据包可以从头开始构建,也可以从原始数据中解析,而面向对象的API使处理协议的深层次结构变得简单。 项目地址:https...
hackthebox-sauna (域渗透/bloodhound使用/mimikatz使用/secretsdump.py、psexec使用)
冬萍子癸水
01-06 4001
1、扫描 先masscan全局快速扫,再namp精细扫 masscan -p1-65535,U:1-65535 10.10.10.175 --rate=1000 -e tun0 nmap -A 10.10.10.175 -p389,5985,445,53,139,49667,636,135,88,49673,49674,80,464,52613,593,49676 可见 开了很多端口,而88 389 这都是域端口,389后面也详细写了域名字,跟htb里这个域渗透的靶机froest很像了。准备好impack
[靶场]HackTheBox Sau
最新发布
qq_24481913的博客
08-10 645
启动靶机之后拿到靶机的ip,这里我建议在连接靶场VPN的时候把tcp和udp的两个协议的配置文件都下载下来,然后分别在kali和windows上面使用,这样就不会导致ip冲突,反复掉线的情况。
No.190-HackTheBox-windows-Sauna-Walkthrough渗透学习
qq_34801745的博客
08-22 597
** HackTheBox-windows-Sauna-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/229 靶机难度:初级(4.3/10) 靶机发布日期:2020年4月29日 靶机描述: Sauna is an easy difficulty Windows machine that features Active Directory enumeration and exploitation. Possible us
hackthebox Sau靶场通关记录 | request baskets漏洞 | maltrail漏洞 | systemctl提权
zrk3034197094的博客
07-19 3013
hackthebox靶场Sau,request basketsSSRF漏洞,maltrail漏洞远程命令执行,systemctl sudo提权
红队知识体系梳理1-域内信息收集
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-09 909
红队知识体系梳理1-域内信息收集
hackthebox - active (考点: smb 利用 & 域票kerberoasting)
冬萍子癸水
05-11 703
1 扫描 nmap常规扫,88的kerberos想到域,跟hackthebox这台考域的靶机forest 有类似处了。139&445想到smb利用。389 ldap想到可能有ldap扫描。 389提示domian是active.htb。我们也先把自己的/etc/hostsdns地址加上10.10.10.100 active.htb方便可能的关联。 Not shown: 986 closed ports PORT STATE SERVICE VERSION 88/tcp o
命令大全3
weixin_34329187的博客
11-17 232
-c指定多个目标对象时,系统会报告错误但仍继续处理参数列表中的下一个对象(持续操作模式)。如果不使用该选项,命令会在第一次出错时退出。-q取消到标准输出的所有输出(安静模式)。-l以列表格式显示项。默认情况下,项以表格形式显示。{ -uc| -uco| -uci}指定以 Unicode 格式输出或输入数据。下表列出并描述了每一种格式。值 描述 -uc为从管道 (|) 输入或...
LDAP学习笔记
Mliangydy的博客
12-22 1183
我们可以通过JNDI的API来操作LDAP LDAP v3 国际化 通过国际字符集(ISO 10646)处理国际化,以表示字符串形式的协议元素(例如DN) LDAP v3与 LDAP v2版本的区别之一:使用UTF-8对字符串编码 认证方式 LDAP的不同版本支持不同类型的身份验证。 LDAP v2支持匿名,简单(明文密码)和Kerberos v4身份验证。 LDAP v3支持匿名,简单和SASL身份验证。 SASL是简单身份验证和安全层(RFC 2222)。它指定了质询-响应协议,在该协
Active Directory(AD)实用手册
06-14
Active Directory(AD)实用手册,帮助你在AD域管理中学习更多技术以及一部门功能实现等。。。
吐血整理所有常用端口,遇到端口问题一查就懂!
weixin_33941350的博客
05-02 736
大家在学习计算机的时候,对于最常用的几个端口比如80端口肯定有很深的印象,但是对于其他一些不是那么常用的端口可能就没那么了解。所以,在一些使用频率相对较高的端口上,很容易会引发一些由于陌生而出现的错误,或者被***利用某些端口进行***。对于这件事情,大部分人都很头疼——最多可达65535个的端口,让人怎么记?别怕,这次专门给大家整理了一些比较常见端口信息,遇到问题,一查就好!注意:一个计算机最多...
hackthebox- Froest (考点:Kerberos pre-authentication/win-rm&5985/域渗透)
冬萍子癸水
04-17 3224
nullinux rpcclient -U "" -N 10.10.10.161 enumdomusers gem install evil-winrm 科普
AD-查看账户信息命令 Get-aduser
weixin_34252090的博客
08-31 1730
从AD导出所有启用的邮箱列表Get-ADUser-Filter{Enabled-eq"True"}-Properties*|selectName,SamAccountName,Displayname,UserPrincipalName,Surname,GivenName导出禁用的 AD 账户,以日期为准进行排序Get-ADUser-Filter{Enab...
WordPress插件W3 Total 缓存数据信息泄露漏洞
weixin_30652879的博客
12-28 240
发布时间: 2012-12-28 测试方法: 程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! 1 #!/bin/bash 2 # (C) Copyright 2012 Jason A. Donenfeld <Jason@zx2c4.com>. All Rights Reserved. 3 # 4 # |---------------| 5 #...
Impacket官方使用指南
weixin_30877755的博客
04-09 2991
什么是Impacket Impacket是用于处理网络协议的Python类的集合。Impacket专注于提供对数据包的简单编程访问,以及协议实现本身的某些协议(例如SMB1-3和MSRPC)。数据包可以从头开始构建,也可以从原始数据中解析,而面向对象的API使处理协议的深层次结构变得简单。该库提供了一组工具,作为在此库找到可以执行的操作的示例。 有关某些工具的说明,请访问:https:/...
hack the box (web)
m0_38094687的博客
04-08 5544
接下来是2道web水题,来自hack the box。这个网站还真是厉害啊,邀请码要靠自己破解网页的一个小trick。话不多说看题。 - Cartographer (30) - HDC (30) Cartographer sql注入大水题 使用username='='&amp;amp;password='='的方式绕过 访问一下info=flag即可得到 HDC 这题...
HackTheBox 如何使用
网络安全学习
04-14 5216
如何开始? 1.到官网注册一个账号 https://www.hackthebox.com/ 2.验证自己的邮箱 3.下载 openvpn 4.到左边的 labs 实验室开始学习或直接点击 start point 5.点击想要完成的靶机,比如第 0 层的第一个靶机,选择 connnect to htb 选择 openvpn 会自动下载 openvpn 的文件,然后用 openvpn 导入,稍等一下即可连接 在 kali(linux)中如何连接? 同样是执行下载的文件 ┌──(root💀kali)-[~/d
HTB系列】靶机Mischief的渗透测试详解
大方子
01-06 3361
这次的目标靶机是 hackthebox的 Mischief IP地址:10.10.10.92 ====================================================================================== 首先我们用nmap对目标机器进行扫描 nmap -T4 -sV -p- 10.10.10.92 我们访...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值