HTB-Timelapse

信息收集

nmap

注意有smb。

NETLOGON

Shares

SYSVOL

开机

winRM服务是windows server下PowerShell的远程管理服务，并且需要密码。

先用zip2john获取ziphash，再用john破解。

密码：supremelegacy

.pfx是什么文件呢。

包含有公钥和私钥？

通过kali tool找到了一个对应的john

转成hash

用john找到hash密码，以方便下一步使用，因为我已经弄过一次john所以只需要显示出来就可以。
密码thuglegacy

现在有了私钥，还缺少登录的条件么？如果齐了该怎么登陆？

在kali tools又找到了一个程序。


可以看到如果不使用kerberos，则需要用户名。

网上搜寻怎么不用凭证登录无果后决定尝试其他办法。

如果我使用证书和私钥登录会怎么样？尝试一下吧，不加-S会出现需要凭证。

因为我没搜索到合适的用法，只能试着来。

提权

收集一下信息，比如powershell历史，本用户文件内是不是还有其他可以利用文件。
用Get-History。

用Get-PSReadlineOption。

但是使用的时候却不存在，去看看里面有什么。
看到了PS的历史记录，注意标红那些字符E3R$Q62^12p7PLlC%KWaxuaV。这个ConvertTo-SecureString字如其名，就是把后面的转化为安全字符，而后面的字符是什么呢，会不会是某个用户的密码。

用net user查看用户的时候有了新发现，会不会是svc_deploy用户的密码。


查询了一下此用户的组和权限。

简单了解一下LAPS。

“本地管理员密码解决方案”（LAPS）提供对加入域的计算机的本地帐户密码的管理。密码存储在Active
Directory（AD）中，受ACL保护，因此只有符合条件的用户才能读取密码或请求重置密码。

在搜索相关信息的时候找到一个脚本。

然后执行脚本。

使用获取的密码登录administrator。

递归查询发现没有找到需要的文件。

最后找到了文件。