這次是第二個內網基礎機器滲透。不會太難只需要不斷的耐心去收集資訊和列舉就可以了。
Try hack me房間連結 https://tryhackme。com/room/vulnnetroasted
0x01:資訊收集
這裡我還是用autorecon去自動聯動各種工具。開啟nmap報告,這次有kerberos smb服務,ldap rpc等。
Smbclient和smbmap這次掃不到匿名使用者可登入的點,只找到幾個共享目錄出來。
0x02:列舉SMB使用者
由於現在不知道內網的域名所以用不了kerbrute,只能從SMB爆破有效使用者名稱開始。在MSF下有個模組叫smb_lookupsid可以枚舉出有效使用者出來,這樣可以做一下資訊收集。
只需要設定RHOST即可。點選RUN等待十幾分鍾最後跑出域名和一堆使用者出來。
既然知道了內網域名就可以加入到host為後續的滲透做準備。
0x03:AS-REP Roasting攻擊收割使用者資訊
在前面一篇文章內網基礎滲透有概括了一下AS-REP Roasting攻擊。簡單的來講kerberos就時一個門票系統只有持有正確的門票才能進去。門票上會記載著每個使用者的詳細資訊設定之類的。但是有些使用者在設定的時候只需要露個頭就行了。不需要輸入密碼只需要使用者名稱就可進去了。透過該攻擊,模擬特殊使用者進去以後再竊取其密碼資訊出來。這裡可以把使用者名稱拿來一個一個試。最後得到一個有效使用者名稱和密碼。
命令: python3 GetNPUsers。py VULNNET-RST。/t-skid -no-pass
使用john解密獲取其密碼。
這裡可以登入回SMB的共享目錄其中NETLOGON是可以進去的進去以後發現裡面有個檔案使用get下載到本地。
打開發現裡面藏有一個使用者和密碼。
這裡可以嘗試登入,剛才的使用者是進不去的。可以使用同目錄下的wmiexec。py指令碼進行。
命令也比較簡單,輸入正確的賬號密碼IP就能進去了。
0x04:最簡單的提權
一開始我是想傳各種檔案過去提權,結果發現居然有殺軟保護。無果只能使用抓密碼大法。仍然在同目錄下使用secretsdump。py輸入剛才的賬號密碼IP就能抓到管理員的hash了。
使用會wmiexec。py輸入使用者名稱ip和hash直接進去。提權成功。
