HTB: Infiltrator
侦察阶段
Nmap扫描
Nmap扫描显示目标开放多个TCP端口,组合模式表明这是一台Windows Active Directory域控制器:
|
|
关键发现:
- 标准DC端口:53(DNS)、88(Kerberos)、389(LDAP)、445(SMB)、135(RPC)、139(NetBios)
- 主机名DC01和域名infiltrator.htb泄露
- 远程访问端口:5985(WinRM)和3389(RDP)
- HTTP服务器在80端口,标题为"Infiltrator.htb"
网站分析(TCP 80)
网站为数字营销公司页面,显示7名团队成员信息:
- David Anderson - Digital Marketer
- Olivia Martinez - Chief Marketing
- Kevn Turner - QA Tester
- Amanda Walker - Co Founder
- Marcus Harris - Developer
- Lauren Clark - Digital Influencer
- Ethan Rodriguez - Digital Influence
SMB枚举
使用netexec确认Windows Server 2019环境,域名为infiltrator.htb:
|
|
初始访问
用户名枚举
使用username-anarchy生成可能的用户名格式,确认格式为[首字母].[姓氏]:
|
|
AS-REP-Roast攻击
发现L.Clark账户设置了DONT_REQUIRE_PREAUTH标志:
|
|
哈希破解
使用Hashcat破解Kerberos哈希,获得密码"WAT?watismypass!":
|
|
密码喷洒
发现D.Anderson使用相同密码,但账户受Protected Users组限制:
|
|
横向移动
Bloodhound分析
收集Bloodhound数据发现D.Anderson对Marketing Digital OU具有GenericAll权限:
|
|
OU权限滥用
使用dacledit.py修改OU的DACL,为D.Anderson添加完全控制权限:
|
|
影子凭证攻击
使用Certipy为E.Rodriguez添加影子凭证:
|
|
组权限提升
通过BloodyAD将E.Rodriguez添加到Chiefs Marketing组,然后修改M.Harris密码:
|
|
Output Messenger利用
应用程序分析
发现Output Messenger应用程序,通过分析聊天记录和数据库文件获取更多凭据:
- 从K.Turner账户发现M.Harris的密码"D3v3l0p3r_Pass@1337!"
- 通过API密钥访问聊天室API获取O.Martinez的密码
日历功能利用
通过Output Messenger的日历功能实现代码执行,获取反向shell。
权限提升
BitLocker恢复
从PCAP文件中提取BitLocker备份文件,使用恢复密钥解密E驱动器,获取NTDS数据库备份。
NTDS哈希提取
使用secretsdump从NTDS文件中提取域哈希:
|
|
GMSA账户利用
发现lan_managment账户对infiltrator_svc$ GMSA账户具有ReadGMSAPassword权限:
|
|
ADCS证书攻击
利用ESC4漏洞修改证书模板,为Administrator账户申请证书:
|
|
最终获取Administrator的NTLM哈希,完成域控完全控制。
|
|