0x00:靶機介紹
這次的靶機是Try hack me的Attacktive Directory。該靶機是免費的,只需要註冊一個號就可以用線上kali去玩了。房間連結https://tryhackme。com/room/attacktivedirectory
這次內網滲透需要用到一些kali沒有的工具,下面是這次靶機要用的工具列表:
Kerbrute https://github。com/ropnop/kerbrute
Evil-winrm https://github。com/Hackplayers/evil-winrm
Kali下自帶的impacket
0x01:資訊收集
首先需要對目標IP進行一個埠掃描,這裡我還是選擇用autoreon自動聯動多個工具先看nmap報告,有一個88埠的kerberos 和389的LDAP在下面的3389也顯示了DNS的域名資訊。
既然顯示了也需要開啟/etc/hosts檔案新增上IP 域名資訊進去。
0x02:利用工具列舉使用者資訊
剛剛看完nmap報告發現有個kerberos協議,這個協議有點類似門票系統,上面會存放著域內使用者的所有資訊。我們可以用kerbrute(開頭有安裝連結)這款工具去列舉使用者資訊,類似於你問kerberos,”小王在裡面嗎?不在,老王在裡面嗎?在” 這種形式。
Try hack me這裡也提供了一個使用者名稱字典需要的話可以儲存到kali裡面再進行一個利用。用自己的字典可能會慢點https://raw。githubusercontent。com/Sq00ky/attacktive-directory-tools/master/userlist。txt
這裡預設大家已經在kali上裝好kerbrute了開始枚舉發現有經典的管理員賬號,svc-admin還有一個backup使用者名稱。
命令:。/kerbrute userenum ——dc 10。10。211。157 -d spookysec。local userlist。txt -t 100
0x03:使用AS-REP Roasting攻擊獲取使用者資訊
前面提到kerberos是一個門票系統,普通使用者需要提供有效的門票(上面包含使用者名稱稱密碼)才能進去。但這只是針對普通使用者而言,對於VIP使用者而言門票系統只需要看到你的門票是VIP名字直接讓你進去了不需要具體檢查這張VIP門票上的資訊是否正確,同時VIP使用者可以檢視普通使用者的資訊,這種方法稱為AS_REP Roasting攻擊。當然我們剛才已經列舉完已知的使用者資訊了,下一步就是篩選看看這些賬戶中哪些是VIP使用者可以不用輸入密碼直接獲取資訊。
這裡需要用到kali的自帶工具在/usr/share/doc/python3-impacket/examples/GetNPUsers。py這裡。使用方法也比較簡單難在要一個個試出來,最後發現svc-admin才是VIP使用者不需要密碼。順便爆出一堆加密資訊
命令: python3 GetNPUsers。py spookysec。local/svc-admin -no-pass
丟到文本里面儲存以後使用John解密最後得到一個字串management2005應該就是svc-admin的密碼了。
0x04:轉戰其它埠
既然前面知道目標開了139,445典型的SMB埠,我們可以用剛才得到的svc-admin賬號登入看看
命令: smbclient -L spookysec。local -U svc-admin
經過一番查詢後確定資訊基本上苟在backup目錄裡面,再次利用smbclient這次指定目錄獲取到一個backup的資訊
開啟以後發現又是加密,這次用線上MD5解密得到一個backup的賬號密碼資訊
利用該賬號資訊可以使用xfreerdp遠端登入
命令: xfreerdp /u:backup /p:backup2517860 /cert:ignore /v:10。10。211。157
0x05:域內使用者提權
目前我們是有一個正常賬號backup,下一步就是想辦法變成管理員了。這次提權的方法是抓密碼,在/usr/share/doc/python3-impacket/examples/ 下有個secretdumps可以列出域內賬號的hash值,最後得到一個管理員的nthash 0e036321xxxxxxxx
命令: python3 secretsdump。py backup@spookysec。local
最後利用evil-winrm進行一個shell登入。最後是管理員許可權
