HTB靶机Puppy渗透测试教学文档<\/h1>

1. 初始信息收集<\/h2>

1.1 端口扫描<\/h3>

使用Nmap进行初始扫描：<\/p>

nmap -sC -sV 10.10.11.70
<\/span><\/span><\/code><\/pre>1.2 服务枚举<\/h3>

尝试使用evil-winrm登录失败<\/li>
枚举SMB共享目录，发现主机名为DC<\/li>
发现DEV目录但无访问权限<\/li>
<\/ul>
2. 域信息收集与分析<\/h2>
2.1 AS-REP Roasting攻击<\/h3>
尝试AS-REP roasting爆破，未找到突破点<\/p>
2.2 BloodHound域分析<\/h3>
使用bloodhound-python收集域信息：<\/p>
bloodhound-python -d puppy.htb -u <username> -p <password> -c All -ns 10.10.11.70
<\/span><\/span><\/code><\/pre>分析发现：<\/p>

LEVI.JAMES用户对DEVELOPERS组有GenericWrite权限<\/li>
DEVELOPERS组可能拥有DEV目录的访问权限<\/li>
<\/ul>
3. 权限提升<\/h2>
3.1 滥用GenericWrite权限<\/h3>
将当前用户添加到DEVELOPERS组：<\/p>
# PowerShell命令添加用户到组<\/span>
<\/span><\/span>Add-ADGroupMember -Identity DEVELOPERS -Members <current_user>
<\/span><\/span><\/code><\/pre>3.2 访问DEV共享<\/h3>
成功获取DEV目录访问权限后，下载文件<\/p>
4. KeePass密码破解<\/h2>
4.1 破解KeePass数据库<\/h3>
发现recovery.kdbx文件，使用KeePass4Brute工具破解：<\/p>
python keepass4brute.py -f recovery.kdbx -w <wordlist>
<\/span><\/span><\/code><\/pre>成功获取密码：liverpool<\/code><\/p>
4.2 提取凭证<\/h3>
使用KeePassXC打开数据库，获取以下凭证：<\/p>

ant.edwards@puppy.htb:Antman2025!<\/li>
注意到adam.silver用户被禁用<\/li>
<\/ul>
5. 用户权限滥用<\/h2>
5.1 分析用户权限<\/h3>

ant.edwards属于SENIOR DEVS组<\/li>
SENIOR DEVS组对adam.silver用户有GenericAll权限<\/li>
adam.silver属于Remote Management Users组<\/li>
<\/ul>
5.2 启用并控制adam.silver用户<\/h3>

启用被禁用的adam.silver用户<\/li>
修改用户所有者<\/li>
尝试修改密码时遇到"密码最短修改周期"限制<\/li>
<\/ol>
5.3 绕过密码策略<\/h3>
使用脚本修改pwdLastSet时间戳：<\/p>
python pwdlastsetChange.py
<\/span><\/span><\/code><\/pre>然后成功修改adam.silver用户的密码<\/p>
6. 获取初始访问权限<\/h2>
6.1 使用evil-winrm登录<\/h3>
evil-winrm -i 10.10.11.70 -u adam.silver -p <new_password>
<\/span><\/span><\/code><\/pre>在桌面获取第一个flag：f92b167a96a599e4678cacc5faf8a2d4<\/code><\/p>
7. DPAPI凭证提取<\/h2>
7.1 运行winPEAS收集信息<\/h3>
发现DPAPI主密钥和相关凭证<\/p>
7.2 设置FTP传输<\/h3>

编辑vsftpd配置文件：<\/li>
<\/ol>
vim \/etc\/vsftpd.conf
<\/span><\/span><\/code><\/pre>
通过FTP传输DPAPI相关文件<\/li>
<\/ol>
7.3 解密DPAPI凭证<\/h3>

解密masterkey<\/li>
尝试解密桌面DPAPI文件和CREDHIST文件<\/li>
<\/ol>
注意：环境问题可能导致解密失败，可能需要重启环境<\/p>
8. 最终提权<\/h2>
8.1 发现备份文件<\/h3>
在根目录找到backup文件夹，内含压缩包，解压后获取凭证<\/p>
8.2 正确解密DPAPI<\/h3>

确认正确的SID目录：S-1-5-21-1487982659-1829050783-2281216199-1107<\/code><\/li>
成功破解masterkey<\/li>
获取具有system权限的用户凭证<\/li>
<\/ol>
8.3 获取管理员权限<\/h3>
使用获取的凭证登录，在Administrator桌面找到第二个flag：740f431b22d42c687aac3be56b9eaec5<\/code><\/p>
9. 关键工具总结<\/h2>

BloodHound<\/strong>：用于分析域内权限关系<\/li>
KeePass4Brute<\/strong>：破解KeePass数据库<\/li>
evil-winrm<\/strong>：Windows远程管理工具<\/li>
winPEAS<\/strong>：Windows权限提升评估脚本<\/li>
DPAPI解密工具<\/strong>：提取Windows保存的凭证<\/li>
<\/ol>
10. 技术要点总结<\/h2>

通过BloodHound发现GenericWrite权限滥用路径<\/li>
利用组权限关系横向移动<\/li>
绕过Active Directory密码策略限制<\/li>
DPAPI凭证提取技术<\/li>
从备份文件中发现敏感信息<\/li>
<\/ol>
11. 防御建议<\/h2>

限制GenericWrite等敏感权限的分配<\/li>
实施严格的密码策略并监控异常修改<\/li>
保护KeePass等密码数据库文件<\/li>
定期审计域内权限关系<\/li>
妥善保管DPAPI相关密钥<\/li>
避免在备份中包含明文凭证<\/li>
<\/ol>

HTB靶机Puppy渗透测试教学文档<\/h1>

1. 初始信息收集<\/h2>

2. 域信息收集与分析<\/h2>

2.1 AS-REP Roasting攻击<\/h3> 尝试AS-REP roasting爆破，未找到突破点<\/p>

3. 权限提升<\/h2>

3.2 访问DEV共享<\/h3> 成功获取DEV目录访问权限后，下载文件<\/p>

4. KeePass密码破解<\/h2>

5. 用户权限滥用<\/h2>

6. 获取初始访问权限<\/h2>

7.1 运行winPEAS收集信息<\/h3> 发现DPAPI主密钥和相关凭证<\/p>

8. 最终提权<\/h2>

8.1 发现备份文件<\/h3> 在根目录找到backup文件夹，内含压缩包，解压后获取凭证<\/p>

8.3 获取管理员权限<\/h3> 使用获取的凭证登录，在Administrator桌面找到第二个flag：740f431b22d42c687aac3be56b9eaec5<\/code><\/p>

11. 防御建议<\/h2> 限制GenericWrite等敏感权限的分配<\/li> 实施严格的密码策略并监控异常修改<\/li> 保护KeePass等密码数据库文件<\/li> 定期审计域内权限关系<\/li> 妥善保管DPAPI相关密钥<\/li> 避免在备份中包含明文凭证<\/li> <\/ol>

2.1 AS-REP Roasting攻击<\/h3>
尝试AS-REP roasting爆破，未找到突破点<\/p>

3.2 访问DEV共享<\/h3>
成功获取DEV目录访问权限后，下载文件<\/p>

7.1 运行winPEAS收集信息<\/h3>
发现DPAPI主密钥和相关凭证<\/p>

8.1 发现备份文件<\/h3>
在根目录找到backup文件夹，内含压缩包，解压后获取凭证<\/p>

8.3 获取管理员权限<\/h3>
使用获取的凭证登录，在Administrator桌面找到第二个flag：`740f431b22d42c687aac3be56b9eaec5<\/code><\/p>`

11. 防御建议<\/h2>

限制GenericWrite等敏感权限的分配<\/li>
实施严格的密码策略并监控异常修改<\/li>
保护KeePass等密码数据库文件<\/li>
定期审计域内权限关系<\/li>
妥善保管DPAPI相关密钥<\/li>
避免在备份中包含明文凭证<\/li> <\/ol>