TryHackMe房间之Enterprise

发表于2025-05-09|更新于2025-05-09

|浏览量:

TryHackMe房间之Enterprise

总结

对于smb枚举相关的还是不熟练，剩下的其实挺简单的

需要对那些相关协议的枚举做一下强化训练，得弄一下枚举checklist

流程记录

rustscan扫描端口发现目标主机端口存活情况如下

使用enum4linux进行枚举，发现目标域名和域SID

将域名和对应ip添加至/etc/hosts

访问发现

扫出robots.txt

结合题目意思以及robots.txt的内容，我们这次的目标就是这个域控了

于是尝试smb枚举

尝试连接Users，密码为空

尝试下载主机上所有我有权限下载的文件

先创建个文件夹/home/deCOLE/shareTHM

然后设置下载文件的路径，关闭确认提示，最后mget下载所有文件

结果下载了一个desktop.ini，无功而返啊，唉

区区困难房间，岂能让我无功而返？!

在7990端口发现了个web页面

发现最上端提示我们，应该是公司的项目或者什么东西正在向GitHub迁移

于是去GitHub搜一搜

果真发现了相关

在这个仓库的用户主页发现了一个ps1脚本

在这个脚本的历史记录中发现了一对用户凭据

nik:ToastyBoi!

使用rcpclient枚举基本信息

枚举用户

枚举工作组

将用户名全部导入users.txtser:[Administrator] rid:[0x1f4]

先查看是否有用户禁用了预身份验证

可以看到都没开启预身份验证

放心大胆扫SPN

发现bitbucket设置了SPN，可以尝试请求TGS，并对其进行破解

保存下来用john破解了

使用bitbucket登录rdp

在桌面的user直接拿下flag1

接着上传winPEAS.exe

应该是由于winPEAS版本不同，这边我运行的时候一堆输出，没看到ZeroTier，但在开始菜单栏当中是看到的

根据大佬的博客，这个服务的二进制路径没有加上双引号，因此我们可能可以对其发起攻击

先查询一下

可以发现我们有权限在对应服务的文件夹中写入文件，并且该服务所属的用户组为SYSTEM

接下来用msfvenom生成一个Zero.exe

上传至对应文件夹

然后手动启动一下服务

成功拿到SYSTEM

读取flag

怎么说呢，这个房间确实不错，学到蛮多的

文章作者: deCOLE

文章链接: http://example.com/2025/05/09/TryHackMe%E6%88%BF%E9%97%B4%E4%B9%8BEnterprise/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 deCOLE's Blog！

相关推荐

TryHackMe房间之Billing

TryHackMe房间之Billing总结从没见过的fail2ban提权，不过倒是启发了以后寻找提权点的思路找一些自己有权限修改，且以高权限用户身份运行的文件或者服务流程记录扫端口情况如下对80端口扫描目录只扫到个robots.txt 直接访问页面，发现就在/mbilling下，于是dirsearch再扫一下找到一个readme 在readme里面找到了版本号搜索发现存在历史漏洞 https://github.com/tinashelorenzi/CVE-2023-30258-magnus-billing-v7-exploit 用exp直接拿到shell 找到user.txt，在/home/magnus下接下来就是权限提升的环节先sudo -l查看一下发现我们能够以root权限执行fail2ban Fail2ban是一个入侵防御软件框架。Fail2Ban...

TryHackMe房间之Reset

TryHackMe房间之Reset总结对smb还是有点不熟悉，没想到这个smb共享也能打一波强制身份验证来获取哈希，学到了还有就是bloodhound的使用不够熟练流程记录rustscan扫描结果如下 enum4linux 枚举发现用crackmapexec枚举smb，发现域名添加到/etc/hosts中再用smbclient枚举一下用空密码尝试连接，发现Data下的onboarding文件夹有一些文件下载到本地发现里面是一些介绍公司相关的？英语不太好在第一个pdf里面看到了一个欢迎的email内容示例，得到初始密码：RessetMe123! 所以接下来的思路应该就是：枚举用户然后用初始密码进行密码喷洒这里靶机中断了，因此ip变动一下注意到共享文件夹里面的文件会发生变动，这意味着域内用户会访问这个共享文件夹于是我们便可以在这个文件夹中添加一个恶意文件，用户在读取文件时进行强制身份验证，以此来获取ntlm...

TryHackMe房间之Persisting Active Directory

TryHackMe房间之Persisting Active Directory通过凭据进行权限维持获得了域管理员凭据后，我们就可以用特权凭据对低权限凭据进行“降维打击” 通过高权限用户凭据来实现对低权限用户的权限维持 DC同步大型组织中，每个域只有一个域控是不够的，一般会采用多个域控来提高身份验证服务的效率于是，如何在两个不同的办公室使用相同的凭据进行身份验证成为了一个问题这里涉及到一个域复制的知识点每个域控都运行着一个叫做KCC的进程，也就是知识一致性检查器（Knowledge Consistency Checker） KCC的作用就是：为AD林生成复制拓扑，并且通过RPC**（**远程过程调用）自动连接到其他域控，以此同步信息这也就解释了之前我们在上一个Exploiting AD房间里，更改密码后需要等待几分钟才能进行身份验证，这是因为负责更改密码的域控和我们进行身份验证的域控不是同一个复制过程称为 DC 同步。不仅仅是 DC 可以启动复制。属于 Domain Admins...

Windows权限提升

Windows权限提升常见获取密码方式无人值守的 Windows 安装在大量主机上安装 Windows 时，管理员可以使用 Windows 部署服务，该服务允许通过网络将单个操作系统映像部署到多个主机。这些类型的安装称为无人值守安装，因为它们不需要用户交互。此类安装需要使用管理员帐户执行初始设置，最终可能会存储在计算机的以下位置： 12345目录:\无人参与.xmlC:\Windows\Panther\Unattend.xmlC:\Windows\Panther\Unattend\Unattend.xml系统信息文件夹:\Windows\system32\sysprep.infC:\Windows\system32\sysprep\sysprep.xml 作为这些文件的一部分，您可能会遇到凭证： 12345<Credentials> <Username>Administrator</Username> <Domain>thm.local</Domain> ...

Windows内部进程（Processes）每个进程都提供执行程序所需要的资源进程具有虚拟空间、可执行代码、系统对象的开放句柄、安全上下文、唯一进程标识符、环境变量、优先级类、最小和最大工作及大小、至少一个执行线程每个进程都用单个线程（通常称为主线程）启动，但可以从其任何线程创建其他线程进程组件作用私有虚拟地址空间为进程分配虚拟内存地址可执行程序定义存储在虚拟地址空间中的代码和数据开放句柄定义进程可以访问的系统资源的句柄安全上下文访问令牌，定义用户、权限和其他安全信息进程ID 进程的唯一数字标识符线程计划执行的进程部分从更底层的层面来看，也就是从虚拟地址空间一层面来解释进程进程在内存中的组件和用途大概如下组件用途代码(Code) 提供进程执行的代码全局变量(Global Variables) 存储的变量进程堆（Process Heap）定义数据存储的堆进程资源(Process Resources) 定义进程的更多资源环境块（Environment...

Windows权限维持

Windows权限维持篡改非特权账户分配组成员资格在这部分任务中，我们假设的前提是：攻击者已经转储了受害者机器的hash,并成功破解了所使用的非特权账户的密码使得非特权用户能获得管理权限的最直接的方法就是:使其成为Administrators组的一部分命令如下： 1net localgroup administrators thmuser0 /add 这将允许我们使用RDP、WinRM或者其他任何可用的远程管理服务，来访问服务器为了降低可疑程度，可用Backup Operators组此组中的用户将没有管理权限，但是可用读取、写入系统上的任何文件或注册表项，并且忽略任何已配置的DACL。这样我们就可以复制SAM和SYSTEM注册表配置单元的内容，然后恢复所有用户的密码hash，从而使得我们能升到Administrator 在此之前首先我们要将账户添加到Backup Operators组 1C:\> net localgroup "Backup Operators" thmuser1...