HTB-Timelapse
💡
原文中文,约18400字,阅读约需44分钟。
📝
内容提要
本文介绍了使用nmap扫描目标主机的TCP和UDP端口,获取服务信息和漏洞,利用smb共享文件进行渗透,破解压缩包并提取私钥,最终成功提权至管理员权限。
🎯
关键要点
- 使用nmap扫描目标主机的TCP端口,获取开放端口信息。
- 通过nmap详细扫描获取服务版本和操作系统信息,初步判断目标为域控。
- 扫描常用的UDP端口,获取相关服务状态。
- 使用nmap漏洞脚本扫描,检查目标主机的已知漏洞。
- 将目标主机的域名写入hosts文件以便后续访问。
- 以匿名方式列出并下载smb共享文件,获取winrm_backup.zip压缩包。
- 破解winrm_backup.zip压缩包以提取私钥。
- 提取pfx文件中的私钥和证书,获得初始立足点。
- 通过Evil-WinRM获取当前用户权限及基本信息。
- 查看PowerShell历史记录,获取svc_deploy用户的凭据。
- 横向移动至svc_deploy用户,发现其属于LAPS_Readers组,能够读取本地管理员密码。
- 获取dc01计算机的LAPS管理密码,成功提权至管理员权限。
- 递归搜索C盘查找root flag并获取。
❓
延伸问答
如何使用nmap扫描目标主机的TCP端口?
可以使用命令 `nmap -sT --min-rate 10000 -p- 目标IP -oA nmap/tcp` 来扫描TCP端口。
如何判断目标主机是否为域控?
通过扫描开放的636和88端口,可以初步判断目标主机为域控。
如何提取winrm_backup.zip中的私钥?
首先使用 `zip2john` 破解压缩包密码,然后用 `openssl pkcs12 -in legacyy_dev_auth.pfx -nocerts -out pfx.pem` 提取私钥。
如何通过Evil-WinRM获取当前用户权限?
使用命令 `evil-winrm -i 目标IP -k pfx.pem -c pfx.crt -S` 连接后,可以通过 `whoami /priv` 查看当前用户权限。
如何横向移动到svc_deploy用户?
使用 `evil-winrm -i 目标IP -u svc_deploy -p '密码' -S` 命令进行横向移动。
如何获取LAPS管理的本地管理员密码?
通过svc_deploy用户的权限,可以使用 `Get-ADComputer -Identity dc01 -Properties *` 命令获取ms-Mcs-AdmPwd属性,得到本地管理员密码。
➡️
