Hack The Box Administrator | Full Walkthrough
三句話摘要
透過 BloodHound 枚舉 Active Directory 權限鏈,逐步橫向移動並最終執行 DCSync 攻擊,完整攻破 Hack the Box「Administrator」靶機。 在 Active Directory 滲透中,BloodHound 的 Outbound Object Control 鏈是最快找到橫向移動路徑的方法,配合 ForceChangePassword、Targeted Kerberoasting 與 DCSync,可以系統性地從低權限帳號一路打穿到域管理員。 BloodHound 的「Outbound Object Control」是核心突破口:每換一個使用者就立刻回到 BloodHound 查看該帳號對外的 AD 物件控制權,這條鏈式思維決定整個攻擊路線,是橫向移動的核心依據。
重點整理
重點- 1
BloodHound 的「Outbound Object Control」是核心突破口:每換一個使用者就立刻回到 BloodHound 查看該帳號對外的 AD 物件控制權,這條鏈式思維決定整個攻擊路線,是橫向移動的核心依據。
- 2
強制改密碼(ForceChangePassword)是 GenericAll 最快的利用方式:對 Michael、Benjamin 等帳號都直接用 `net rpc password` 改密,比注入 ACE 或其他手法更直接,適合在已控帳號有 GenericAll 的場景快速推進。
- 3
Password Safe 資料庫是隱藏的憑證倉庫:Benjamin 因隸屬 Share Moderators 群組能存取 FTP,其中藏有 `backup.psafe3` 加密資料庫;用 `pwsafe2john` 提取 hash、John 破解 master password 後,即可取出 Emily 的明文密碼。
- 4
GetChangesAll 權限等同 DCSync,可傾倒全域 NTLM Hash:Ethan 對域持有 GetChangesAll 權限,搭配 Impacket `secretsdump` 即可執行 DCSync,無須上傳任何 payload 到 DC,是極低噪音的提權路徑。
實用技巧與重點
乾貨- 靶機難度:Hack the Box / Medium / Active Directory
- 預設憑證:使用者名稱 Olivia(密碼已提供)
- 掃描工具:RustScan(快速端口偵測)
- 發現服務:Port 21 FTP(Windows NT 目錄)
- SMB 枚舉工具:CrackMapExec / NetExec(`nxc smb`)
- 初始 Shell 工具:Evil-WinRM(`evil-winrm -i <IP> -u olivia -p <pass>`)
- AD 枚舉工具:BloodHound(`bloodhound-python` 全量採集)
- 權限鏈:Olivia →(GenericAll)→ Michael →(ForceChangePassword)→ Benjamin →(FTP存取)→ Emily →(GenericRights)→ Ethan →(GetChangesAll)→ Administrator
- 改密指令:`net rpc password <target_user> <new_pass> -U <domain>/<user>%<pass> -S <IP>`
- 測試密碼:`Password123`(Michael、Benjamin 強制改密後測試用)
- FTP 檔案:`Backup.psafe3`(Password Safe 加密資料庫)
- Hash 提取工具:`pwsafe2john Backup.psafe3 > pwsafe.txt`
- 破解工具:John the Ripper(`john pwsafe.txt`),破解出 master password
- Kerberoasting 工具:`targetedKerberoast.py`(Python 3),針對 Ethan 執行
- Hash 模式:Hashcat module `13100`(Kerberos 5 TGS-REP)
- DCSync 工具:`impacket-secretsdump <domain>/<ethan>:<pass>@<DC_IP>`
- 最終提權:Evil-WinRM 搭配 `-H <NT_HASH>` Pass-the-Hash 登入 Administrator
- OSCP 關聯:本題屬 Assumed Breach 情境,與 OSCP AD 題型高度吻合
結論
結論“在 Active Directory 滲透中,BloodHound 的 Outbound Object Control 鏈是最快找到橫向移動路徑的方法,配合 ForceChangePassword、Targeted Kerberoasting 與 DCSync,可以系統性地從低權限帳號一路打穿到域管理員。”
完整解析
詳細本影片示範 Hack the Box 平台上名為「Administrator」的中難度 Active Directory 靶機,從題目提供的初始憑證(Olivia 帳號)出發,藉由 BloodHound 建立完整的 AD 攻擊路線圖,逐步串起六個帳號的權限鏈,最終以 DCSync 傾倒域管理員雜湊並完成提權。
攻擊起點是用 RustScan 全端口掃描,注意到 Port 21 FTP 開放,但先用 CrackMapExec 確認 SMB 共享均無敏感內容後,直接以 Evil-WinRM 用 Olivia 的預設憑證取得互動式 Shell。確認身份後,啟動 `bloodhound-python` 全量採集域資訊,將 ZIP 結果匯入 BloodHound GUI,從 Olivia 節點開始檢視「Outbound Object Control」。BloodHound 顯示 Olivia 對 Michael 擁有 GenericAll 權限,這是整條攻擊路線的第一個關鍵節點。
利用 `net rpc password` 強制將 Michael 的密碼改為 `Password123` 並驗證登入成功後,回到 BloodHound 將 Michael 標記為 Owned,再次查看其 Outbound Object Control,發現 Michael 對 Benjamin 具有 ForceChangePassword 權限。同法操作後,Benjamin 成為第三個被控帳號。BloodHound 顯示 Benjamin 隸屬 Share Moderators 群組,講者聯想到先前發現的 FTP 服務,以 Benjamin 登入 FTP,成功下載 `Backup.psafe3`,這是一個 Password Safe 格式的加密密碼資料庫。使用 `pwsafe2john` 提取資料庫 master password 的 hash,再以 John the Ripper 破解,取得明文 master password,開啟資料庫後找到 Emily 的明文憑證,以 Evil-WinRM 登入取得 `user.txt` 旗標。
進入 Emily 帳號後,同樣回到 BloodHound 標記 Owned 並檢視 Outbound Object Control,發現 Emily 對 Ethan 有 GenericRights,但 Ethan 的密碼無法直接強制更改,改用 Targeted Kerberoasting(`targetedKerberoast.py`)對 Ethan 發動攻擊,取得 TGS-REP 加密票據。以 Hashcat module 13100 破解 Kerberos 5 hash,得到 Ethan 的明文密碼。此時 BloodHound 顯示 Ethan 對域持有 `GetChangesAll` 權限,即具備 DCSync 能力,可模擬域控向其請求任意帳號的密碼複製。透過 `impacket-secretsdump` 以 Ethan 憑證對 DC 執行 DCSync,傾倒出 Administrator 的 NT Hash,最後以 Evil-WinRM 搭配 `-H` 參數做 Pass-the-Hash,直接以 Administrator 身份登入,取得 `root.txt` 旗標完成靶機。
講者最後提到,本題屬於 OSCP 所強調的 Assumed Breach 情境(假設攻擊者已持有初始憑證),非常接近 OSCP 考試的 AD 題型,並強烈建議從一開始就引入 BloodHound,因為它能大幅縮短在 AD 環境中尋找攻擊路徑的時間,是滲透測試學習中不可或缺的工具。
關鍵時刻
Pipeline v2帶時間戳的重點,會在逐字稿層級分析上線後產生。目前請先透過原始影片觀看。
事實查核
Pipeline v2說法查證是下一次管線升級的一部分。KeyFrame 只會顯示它真正能驗證的內容。
