HTB打靶日记:Acute
信息收集
Tcp协议
nmap -p- -sT --min-rate=1000 -Pn 10.129.22.134
Udp协议
nmap -p- -sU --min-rate=1000 -Pn 10.129.22.134
nmap -p443 -sT -sC -sV -Pn 10.129.22.134
发现域名acute.local和atsserver.acute.local,加入hosts文件中
访问https页面,发现了wordpress页面
在/about.html下发现了docx文件
将docx文件下载
wget https://atsserver.acute.local/New_Stater_CheckList_v7.docx --no-check-certificate
简单分析一下docx本身
发现了计算机名称Acute-PC01与一个用户名Daniel
读取docx文件内容发现了一些有用的信息
发现在remove中含有超链接,记录下来
搜索pass发现了默认密码
又检查了一下web页面在about.html下发现了几个用户,加入用户字典中
访问docx中的超链接,发现了powershell web的登陆界面
利用默认的密码与之前收集的用户名EDavies成功登陆
日常检查c:\下的特殊目录发现了Utils目录,ls -force发现了一个隐藏文件
似乎是在提示我们在当前目录下上传文件不会受到defender的影响
上传msf后门上线msf
远程加载winpeas.exe
发现了网关172.16.22.1
又检查了一遍发现存在rdp会话登陆
利用screenshare模块监控对方屏幕
发现正在运行powershell界面
将屏幕中的命令记录下来,获取imonks用户的权限
$pass = ConvertTo-SecureString "W3_4R3_th3_f0rce." -AsPlainText -Force
$cred = New-Object System.Management.Automation.PSCredential ("acute\imonks", $pass)
invoke-Command -computername atsserver -ConfigurationName dc_manage -ScriptBlock {whoami} -credential $cred
在c:\users下利用imonks用户的权限发现了 imonks文件夹
在desktop目录下发现了wm.ps1
这个脚本在最后调用了Invoke-Command并执行get-voulme,将该命令改为运行msf.exe,应该是可以利用它获取jmorgan的权限
利用get-content读取wm.ps1文件内容,然后把get-volume换为执行msf.exe的命令
成功获取jmorgan用户的shell
发现当前用户在administrator组内
虽然timeout,但可以看到已经获取了system权限
利用hashdump获取了存储的hash
Administrator:500:aad3b435b51404eeaad3b435b51404ee:a29f7623fd11550def0192de9246f46b:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:24571eab88ac0e2dcef127b8e9ad4740:::
Natasha:1001:aad3b435b51404eeaad3b435b51404ee:29ab86c5c4d2aab957763e5c1720486d:::在cmd5.com上,解密出了administrator的密码为Password@123,guest密码为空
利用之前收集的用户名以及新获取的密码尝试获取权限
成功获取awallace用户的权限
$pass = ConvertTo-SecureString "Password@123" -AsPlainText -Force
$cred = New-Object System.Management.Automation.PSCredential ("acute\awallace", $pass)
invoke-Command -computername atsserver -ConfigurationName dc_manage -ScriptBlock {whoami} -credential $cred
我们在c:\program files文件夹下仅仅对keepmeon有访问权限,访问该文件夹发现了一个bat文件
读取该bat文件,该文件仅仅被lois用户运行,而且每五分钟运行一次
在之前的docx文件提到了一个site admin组,并且只有lois用户在该组
发现了Site_Admin组,因此要把当前用户加入该组
将net group写入keepmeon目录下的wen.bat文件,等待wen.bat被执行
成功拿到了域管理员权限
HTB打靶日记:Acute相关推荐
- HTB打靶日记:Escape
信息收集 TCP协议: nmap -p- -sT --min-rate=1000 -Pn 10.129.221.221 UDP协议 nmap -p- -sU --min-rate=1000 -Pn 1 ...
- HTB打靶日记:Flight
信息收集: Tcp协议: nmap -p- -sT --min-rate=1000 -Pn 10.129.228.120 Udp协议: nmap -p- -sU --min-rate=1000 -Pn ...
- HTB打靶日记:Nineveh
信息收集: nmap -p- -sT --min-rate=10000 -Pn 10.129.26.243 nmap -p- -sU --min-rate=10000 -Pn 10.129.26.24 ...
- HTB打靶日记:Inject
信息收集 TCP协议: nmap -p- -sT --min-rate=1000 -Pn 10.129.226.252 UDP协议: nmap -p- -sU --min-rate=1000 -Pn ...
- HTB打靶日记:Bashed
信息收集: nmap -p- -sT --min-rate=10000 10.129.27.79 nmap -p- -sU --min-rate=10000 -Pn 10.129.27.79 发现 ...
- HTB打靶日记:Cerberus
//靶场看起来简单,实际上打了六七个小时,很多地方有坑... 信息收集: TCP协议: TARGET=10.129.91.88 && nmap -p$(nmap -p- --min-r ...
- 打靶日记 HTB agile
Httpsuperpass Nmap 结果 ┌──(root
- HTB打靶(Active Directory 101 Mantis)
namp扫描 Starting Nmap 7.93 ( https://nmap.org ) at 2023-02-02 03:40 EST Stats: 0:01:28 elapsed; 0 hos ...
- HTB打靶(Active Directory 101 Reel)
nmap扫描目标 nmap -A -T4 10.10.10.77 Starting Nmap 7.93 ( https://nmap.org ) at 2023-01-18 01:30 EST Nma ...
最新文章
- 大型企业网络运维,ACL,VTP,NAT,vlan.总合。
- 人工智能算法--KNN算法(C++实现)
- CNN 中1X1卷积核的作用
- MFC获取键盘光标和鼠标光标所在控件的ID
- mysql怎么把datetime类型转换_mysql怎样实现time转datetime
- 你心中有这样的人吗?
- oracle 12514 pl sql,plsql登陆oracle报错!连接Oracle 10g时ORA-12514: TNS: 监听进程不能解析在连接描述符中给出的...
- go语言 Accept error: accept tcp [::]:5551: too many open files;
- dubbo 学习资料
- arcgis python 百度网盘 视频_arcgis软件零基础入门视频教程27讲百度网盘链接
- ios 监测网页按钮_关于iOS加载WebView监控网页上的点击事件
- c语言大数乘方算法,用c语言实现大数乘方
- Python数据处理二
- tensorflow 学习笔记使用CNN做英文文本分类任务
- java中计算包含汉字字符串的长度
- Web APls 阶段——第四节——案例:关闭淘宝二维码案例
- springCloud 学习第一篇(介绍以及Rest 学习:服务者 与消费者 环境搭建)
- 一年时间,拿到了人生中的第一个10万
- Hibernate Transformers之三种结果转换说明
- 如何给老婆解释什么是微服务?