今天闲来无事看到htb上一个名叫Cicada的靶机,难度不大,但是让我想起来了之前的Cicada3301的事(https://www.youtube.com/watch?v=_QYeqm3V3hQ&ab_channel=%E8%80%81%E9%AB%98%E8%88%87%E5%B0%8F%E8%8C%89Mr%26MrsGao)……
好吧回到靶机,这个靶机和这也没什么关系,难度也不大。开始
服务扫描,网速慢,用时122.26s……
开着139和445,考虑开着smb,使用netexec扫描可读写权限目录:
把文件拿下来:
文件内容翻译后大致就是:
欢迎新员工加入 Cicada Corp,并强调了更改默认密码的重要性。要点包括:
-
欢迎词:热烈欢迎新员工加入团队。
-
默认密码:提供的默认密码是
Cicada$M6Corpb*@Lp#nZp!8
。 -
密码更改步骤:
-
登录 Cicada Corp 账户。
-
导航到帐户或资料设置。
-
找到“更改密码”选项。
-
按照提示创建一个强密码,包括大小写字母、数字和特殊字符。
-
确保保存更改。
-
安全建议:不要分享密码,使用复杂密码来保护账户安全。
-
支持信息:如需帮助,可联系 [email protected]。
-
欢迎和祝愿:再次欢迎加入团队,并祝福新员工。
OK,拿到一个不知道什么用户的密码,再通过netexec爆破RID的方式爆破smb用户:
把所有用户名单独存储,然后用九头蛇爆破一下:
但是老报错,原因暂且未知:
使用netexec进行爆破得到用户名:
nxc smb cicada.htb -u user.txt -p 'xxx' --continuc-on-success
随后在smb共享目录中并未找到进一步的线索:
回头看该账户可以通过ldap身份验证,并且检索出另一位用户的密码:
ldapsearch -H ldap://cicada.htb -D '[email protected]' -w 'user-pass' -b 'dc=cicada,dc=htb' | grep pass
(ldapsearch 需要使用 -b 参数指定Base DN,也就LDAP 目录树中搜索开始的节点)
该用户可登录WinRM服务(开放在5985端口)
提权:
该用户可绕过ACL访问和备份系统文件,接下来导出 HKEY_LOCAL_MACHINESAM 注册表内容:
破解报错了:
pypykatz(Python 实现的Mimikatz)在从注册表SAM文件中获取秘钥的时候同时需要注册表中的HKEY_LOCAL_MACHINESYSTEM文件,回去再把这个文件down下来:
就这点网速又下半天……
结束。
原文始发于微信公众号(KeepHack1ng):靶机渗透-Cicada
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论