Hack The Box - Sauna

Posted 2023-05-07

参考技术A 目标主机是一台Windows域控服务，同时还搭建了一个web网站，网站本身似乎没有太多突破口，于是渗透的思路聚焦于Windows凭据的突破。渗透过程大致为，通过网站的About页面猜测用户名，然后使 GetNPUser.py 尝试获取用户的TGT，然后用 John 爆破出口令，再使用 evil-winrm 访问目标主机。在主机上使用 winPEAS.exe 收集主机信息，发现主机上存在更多的可用账号以及一个默认口令，其中包括一个叫 svc_loanmgr 的账号，使用 BloodHund 收集域信息，发现该账号有权限实施 DCSync 攻击，接下来使用 mimikatz 或 secretdump.py 获取管理员账号的ntlm hash，然后使用 evil-winrm 进行 pth 以管理员账号登录目标机器并获取root.txt

先上 namp 扫描端口

拿到了fsmith的口令hash，下一步需要尝试爆破这个口令，这里使用 john

这里直接爆破出了明文口令，然后然后我们使用 evil-winRM 远程连接目标机器

为了进一步查找目标主机上可以利用的弱点信息，我们使用 winPEAS.exe 对目标环境做进一步扫描，可以使用 evil-winrm 的 upload 命令直接上传文件，然后执行 ./winPEAS.exe ，从反馈信息里发现一个新的账号 svc_loanmanager 还有他的口令。

为了进一步获取域管理权限，这里选择使用 BloodHound 扫描域信息，将 SharpHound.exe 上传到目标服务并执行

根据提示，这个利用 svc_loanmanager 可以实施 DcSync 攻击

直接上传 mimikatz.exe 到目标主机，执行 dcsync 获取administrator账号的ntlm hash

也可以使用impacket的 secretdump.py 脚本远程直接dump口令hash

hack the box

注册和配置参考

https://dylan903.coding.me/2019/12/02/htb-hack-the-box-xi-lie-ru-men-zhi-nan/

工具介绍

https://www.jianshu.com/p/17d8e94b1cce