HTB-Campfire-1

news2024/9/30 5:31:38

1、今天打一台htb安全分析的靶机，首先我们先看一下这中类型题的框架，首先是题目指引描述，之后有7个问题，这些问题会一步一步指引我们去溯源分析，话不多说开始我们今天的练习。

题目描述：

Alonzo 在他的电脑上发现了奇怪的文件，并通知了新组建的 SOC 团队。评估情况后，认为网络中可能发生了 Kerberoasting 攻击。您的工作是通过分析提供的证据来确认调查结果。您将获得：1- 来自域控制器的安全日志 2- 来自受影响工作站的 PowerShell 操作日志 3- 来自受影响工作站的预取文件

问题：

1、分析域控制器安全日志，您能否确认 kerberoasting 活动发生的日期和时间？

2、目标服务名称是什么？

3、确定发生此活动的工作站非常重要。工作站的 IP 地址是什么？

4、现在，我们已经确定了工作站，接下来将为您提供包括 PowerShell 日志和预提取文件在内的会审，以便您深入了解此活动在端点上是如何发生的。用于枚举 Active Directory 对象并可能在网络中查找 Kerberoastable 帐户的脚本文件名是什么？

5、此脚本是何时执行的？

6、用于执行实际 kerberoasting 攻击的工具的完整路径是什么？

7、何时执行工具以转储凭据？

知识铺垫：

Kerberos协议

2、Pf文件

Windows 具有称为 prefetch 的系统功能，旨在提高加载和执行程序的速度/效率。

当程序首次运行时，它会存储有关在加载该文件时访问的所有文件的信息。此数据存储在文件中，

以便在后续运行同一二进制文件时，可以将这些文件预加载到内存中。

该文件还存储元数据，例如文件名、运行计数和访问时间。

3、kerberoasting攻击

kerberoasting是本次分析的关键点，但是具体的漏洞原因还是需要结合Kerberos协议去了解才行，他主要是利用了客户端在获取tgt后，向kdc去请求访问A服务器，这时候kdc验证tgt无误，然后使用A服务的ntlm hash 去加密了票据，然后票据又放在tgs传给客户端的过程中，拿到了这个hash，然后去做的攻击，这里可以参考一下csdn里边的文章去理解。

https://blog.csdn.net/weixin_45954730/article/details/140647751
解体步骤

拿到zip首先看一下有哪些文件，一个是dc域控的安全日志，另一个是工作组的powershell日志和预存文件，这个在描述中也有说明，是内网失陷主机的日志，根据kerberoasting攻击的相关描述，大致可以判断这个攻击是通过对kdc下发tgs票据中密码哈希加密环节构造的类型攻击，如果你不理解我说的这句话，那我建议你再看一下kerberos通信协议：Detecting Kerberoasting Activity – Active Directory Security
很明显我们需要关注的是tgs请求，而不是tgt，在日志中很迅速的我们可以找到4769和4768这两种安全事件id，我们需要关注4759