靶机渗透-Cicada

admin 2024年11月3日00:06:34评论7 views字数 1100阅读3分40秒阅读模式

今天闲来无事看到htb上一个名叫Cicada的靶机,难度不大,但是让我想起来了之前的Cicada3301的事(https://www.youtube.com/watch?v=_QYeqm3V3hQ&ab_channel=%E8%80%81%E9%AB%98%E8%88%87%E5%B0%8F%E8%8C%89Mr%26MrsGao)……

靶机渗透-Cicada

好吧回到靶机,这个靶机和这也没什么关系,难度也不大。开始

服务扫描,网速慢,用时122.26s……

靶机渗透-Cicada

开着139和445,考虑开着smb,使用netexec扫描可读写权限目录:

靶机渗透-Cicada

把文件拿下来:

靶机渗透-Cicada

靶机渗透-Cicada

文件内容翻译后大致就是:

欢迎新员工加入 Cicada Corp,并强调了更改默认密码的重要性。要点包括:

  1. 欢迎词:热烈欢迎新员工加入团队。

  2. 默认密码:提供的默认密码是 Cicada$M6Corpb*@Lp#nZp!8

  3. 密码更改步骤

    • 登录 Cicada Corp 账户。

    • 导航到帐户或资料设置。

    • 找到“更改密码”选项。

    • 按照提示创建一个强密码,包括大小写字母、数字和特殊字符。

    • 确保保存更改。

  4. 安全建议:不要分享密码,使用复杂密码来保护账户安全。

  5. 支持信息:如需帮助,可联系 [email protected]

  6. 欢迎和祝愿:再次欢迎加入团队,并祝福新员工。

OK,拿到一个不知道什么用户的密码,再通过netexec爆破RID的方式爆破smb用户:

靶机渗透-Cicada

把所有用户名单独存储,然后用九头蛇爆破一下:

靶机渗透-Cicada

但是老报错,原因暂且未知:

靶机渗透-Cicada

使用netexec进行爆破得到用户名:

nxc smb cicada.htb -u user.txt -p 'xxx' --continuc-on-success

靶机渗透-Cicada

随后在smb共享目录中并未找到进一步的线索:

靶机渗透-Cicada

回头看该账户可以通过ldap身份验证,并且检索出另一位用户的密码:

ldapsearch -H ldap://cicada.htb -D '[email protected]' -w 'user-pass' -b 'dc=cicada,dc=htb' | grep pass

(ldapsearch 需要使用 -b 参数指定Base DN,也就LDAP 目录树中搜索开始的节点)

该用户可登录WinRM服务(开放在5985端口)

靶机渗透-Cicada

靶机渗透-Cicada

提权:

靶机渗透-Cicada

该用户可绕过ACL访问和备份系统文件,接下来导出 HKEY_LOCAL_MACHINESAM 注册表内容:

靶机渗透-Cicada

破解报错了:

靶机渗透-Cicada

pypykatz(Python 实现的Mimikatz)在从注册表SAM文件中获取秘钥的时候同时需要注册表中的HKEY_LOCAL_MACHINESYSTEM文件,回去再把这个文件down下来:

靶机渗透-Cicada

就这点网速又下半天……

靶机渗透-Cicada

结束。

原文始发于微信公众号(KeepHack1ng):靶机渗透-Cicada

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月3日00:06:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   靶机渗透-Cicadahttps://cn-sec.com/archives/3348728.html

发表评论

匿名网友 填写信息