HackTheBox - Medium - Windows - Scrambled

发布时间:2024年01月15日

Scrambled

最近身体有些不舒服,恐怕理论值要与现实产生较大偏差了


Scrambled 是一台中型 Windows Active Directory 计算机。通过枚举远程计算机上托管的网站,潜在攻击者能够推断出用户“ksimpson”的凭据。该网站还指出 NTLM 身份验证已禁用,这意味着将使用 Kerberos 身份验证。使用“ksimpson”的凭据访问“Public”共享时,PDF 文件指出攻击者检索了 SQL 数据库的凭据。这表明远程计算机上正在运行 SQL 服务。枚举普通用户帐户,发现帐户“SqlSvc”具有与其关联的“服务主体名称”(SPN)。攻击者可以使用此信息执行称为“kerberoasting”的攻击并获取“SqlSvc”的哈希值。在破解哈希并获取“SqlSvc”帐户的凭据后,攻击者可以执行“银票”攻击来伪造票并冒充远程 MSSQL 服务上的用户“管理员”。数据库的枚举显示了用户“MiscSvc”的凭据,该凭据可用于使用 PowerShell 远程处理在远程计算机上执行代码。当新用户显示一个正在侦听端口“4411”的“.NET”应用程序时,系统枚举。对应用程序进行逆向工程显示,它使用不安全的“Binary Formatter”类来传输数据,从而允许攻击者上传自己的有效负载并以“ntauthority\system”的身份执行代码。


外部信息收集

端口扫描

循例nmap

file

Web枚举

file

禁用了NTLM身份认证

file

在这里发现了一个username

file

初始密码策略

file

SMB枚举

请求TGT

file

krb5ccache

file

用kerberos协议拿ccache登smbclient

file

/public有个pdf,下下来

file

Foothold

提示与SPN有关

file

这里需要对GetUserSPNs.py修补

file

request

file

file

hashcat直接爆

file

在/etc/krb5.conf中添加

[libdefaults]
	default_realm = SCRM.LOCAL

[realms]
	SCRM.LOCAL = {
		kdc = dc1.scrm.local
	}

[domain_realm]
	.scrm.local = SCRM.LOCAL

kinit

file

ldapsearch这里直接看wp配置了

domain administrator sid: S-1-5-21-2743207045-1827831105-2542523200-500
mssqlsvc nt hash: b999a16500b87d17ec7f2e2a68778f05

域权限提升

做DA的银票

file

登mssqlclient

file

启用xp_cmdshell

file

之前的靶机已经遇到过一次这种情况了,由于我们使用的是DA的ticket,所以我们可以通过mssql服务来模拟DA进行文件读取来读flag

file

getshell后应该也可以对sqlsvc打potato

这台机挺好的,就是身体不在状态

文章来源:https://blog.csdn.net/qq_54704239/article/details/135591117
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。