打 Windows 靶机常遇到Kerberos，在此总结一下 Kerberos原理 Kerberos认证过程 AS_REQ：Client向AS发起AS_REQ，请求凭据是Client Hash加密的时间戳 AS_REP：AS使用Client Hash进行解密，如果结果正确就返回用krbtgt的NTLM Hash加密的TGT票据（TGS中包含PAC，PAC包含Client SID和组） TGS_R

开局先扫描 enum4linux找不到什么有用的信息，smbmap这边发现了可读的共享 Get User FlagSMB information leakage下载下来可以看到是个Ansible脚本 我重点看了PWM，因为8443端口开放着这个服务 配置文件中发现了： 账户svc_pwm Ansible账户：Administrator；密码：Welcome1 开启了WinRM PWM系统的

开局先扫描，可以看到经典的SMB、RPC、LDAP。都是我们信息收集的目标 Get User Flag发现了一个可读的共享 把文件下载下来，发现是两个组策略文件，其中一个文件包含用户名密码 使用gpp-decrypt进行解密 此时我们拥有了用户名active.htb\SVC_TGS和密码GPPstillStandingStrong2k18 获得User Flag Get Root Flag

年轻人的第一台Windows靶机 没打过Windows靶机，这台用来熟悉一下套路，收集了国内外很多Writeup总结下大伙的技术和思路 信息收集端口扫描 区域传输失败 SMB没有匿名共享目录 RPCRPC远程过程调用枚举用户，拿到了用户和用户组信息 查找对应的管理员组及管理员信息 enum4linux1enum4linux -v 10.10.10.161 Get User FlagAS-

年轻人的第一台Medium靶机，没想到这么逆天 开局先扫描 体验功能很漂亮的页面 主页翻了半天什么都没有，目录、js接口什么都找不到。实在没办法去看了一下writeup 虚拟主机扫描使用gobuster vhost爆破到了kiosk.jupiter.htb虚拟主机名，算是学到新姿势了 一个Grafana 使用API执行SQL语句（这还是Google找到的，国内都是分享某个漏洞）

端口还没扫完，直接浏览器访问一下，Google一搜，RCE CVE-2022-46169-CACTI-1.2.22 直接拿下 Get User Flag但是www-data用户连家目录都无，这里没有找到user flag 直接上Linpeas 收集一下信息，发现了一个脚本 entrypoint.sh和两个数据库密码 这里也是一个连接数据库的脚本，倒是发现了有个host为db的数据库 d

开局先扫一下，发现只有22和55555端口可以访问 进去直接看到开源项目了都 看介绍这是一个收集HTTP请求并且可以展示和检阅它们的一个简单的Web服务 看开源项目的时候留意到最新的Release已经是v1.2.3了，按照HackTheBox的套路，一般都是nday（听大佬说的）所以Google查一下有没有可利用的nday 果然Google一查就有了（CVE-2023-27163） GetSh

Noob 的 HackTheBox 之旅 环境VPS：43.134.44.115 Mac：localhost Burpsuite 端口转发 VPS通过OpenVPN连接HacktheBox Mac通过端口转发将7080端口转发到VPSssh -qTfnN -D 7080 user@43.134.44.115 浏览器通过Burpsuite 将数据代理到7080端口 这样就可以在本地的浏览器上通过B

Remake…