Ed3n's Blog

Secura01使用 enum4linux 对目标主机进行默认用户名密码检测 enum4linux -a 192.168.152.95 不允许默认用户名密码 使用 nxc 查看 Eric.Wallows 是否在目标主机 smb 服务拥有权限 nxc smb 192.168.152.95 --shares -u Eric.Wallows -p EricLikesRunning800 显示 Pwn3d 说明当前使用的账户 Eric.Wallows 通过 SMB 协议对目标主机 192.168.152.95 具有 系统级权限 无需进一步提权，即可直接执行任意命令、访问敏感文件或控制系统 使用 impacket-secretsdump 提取本地 SAM 哈希和域凭据 impacket-secretsdump 'secura.yzx/Eric.Wallows:EricLikesRunning800@192.168.152.95' 回显 Administrator 密码哈希 使用 impacket-psexec 进行 PtH 攻击 impacket-psexec - ...

Active WalkthroughBox Info官网在这里：Active Active is an easy to medium difficulty machine, which features two very prevalent techniques to gain privileges within an Active Directory environment. The Hack使用 enum4linux 对 SMB 服务进行枚举 enum4linux -a 10.129.65.81 仅发现共享目录 使用 crackmapexec 再次探测 SMB 服务 crackmapexec smb 10.129.65.81 --shares -u '' -p '' 2>/dev/null 发现可读共享文件夹 Replication 以及域名 active.htb 使用 smbclient 尝试匿名登陆 smbclient -N //10.129.65.81/Replication 在 SMB 共享文件夹 \active. ...

Sauna WalkthroughBox Info官网在这里：Sauna Sauna is an easy difficulty Windows machine that features Active Directory enumeration and exploitation. Possible usernames can be derived from employee full names listed on the website. With these usernames, an ASREPRoasting attack can be performed, which results in hash for an account that doesn't require Kerberos pre-authentication. This hash can be subjected to an offline brute force attack, in order to recover the plaintext password for a us ...

Bastard Walkthrough一台不太像 AD 靶机做法的靶机 … Box Info官网在这里：Bastard Bastard is not overly challenging, however it requires some knowledge of PHP in order to modify and use the proof of concept required for initial entry. This machine demonstrates the potential severity of vulnerabilities in content management systems. The Hack使用 nmap 进行端口扫描 sudo nmap -p- 10.129.37.166 --min-rate 2500 发现 80、135、49154 端口 对开放端口进行应用版本发现 sudo nmap -p 80,135,49154 -sC -sV 10.129.37.166 发现 80 端口开放 http 服务同时泄露 robots.txt ...

Resolute RecordBox Info官网在这里：Resolute Resolute is an easy difficulty Windows machine that features Active Directory. The Active Directory anonymous bind is used to obtain a password that the sysadmins set for new user accounts, although it seems that the password for that account has since changed. A password spray reveals that this password is still in use for another domain user account, which gives us access to the system over WinRM. A PowerShell transcript log is discovered, which has captur ...

Forest WalkthroughBox Info官网在这里：Forest Forest in an easy difficulty Windows Domain Controller (DC), for a domain in which Exchange Server has been installed. The DC is found to allow anonymous LDAP binds, which is used to enumerate domain objects. The password for a service account with Kerberos pre-authentication disabled can be cracked to gain a foothold. The service account is found to be a member of the Account Operators group, which can be used to add users to privileged Exchange groups. Th ...

Weasel WalkthroughBox Info官网在这里：Weasel I think the data science team has been a bit fast and loose with their project resources. The Hack对目标 IP 进行端口发现和对开放的端口进行应用版本发现 nmap -sC -sV 10.10.236.197 --min-rate 250 发现 22 端口 SSH 服务，135 端口 RPC 服务，139 和 445 端口 SMB 服务，3389 端口远程桌面服务和 8888 端口 HTTP 服务 先来看开放在 139/445 端口的 SMB 服务，以下命令枚举失败 nmap -p139,445 --script=smb-enum-* 10.10.236.197nmap -p139,445 --script=smb-vuln-* 10.10.236.197smbmap -H 10.10.236.197 使用 smbclient 匿名登陆 smbclient -N -L //10.10.236 ...

Blueprint WalkthroughBox Info官网在这里：blueprint Hack into this Windows machine and escalate your privileges to Administrator. The Hack对目标主机做全端口扫描 nmap -p- 10.10.253.208 --min-rate 500 发现开放 80 、135、139、443、445、3306、8080 端口 对开放的端口进行应用版本发现 nmap -p 80,135,139,443,445,3306,8080 -sC -sV 10.10.253.208 80、8080 开放 HTTP 服务，443 端口开放 SSL/HTTP 服务，139/445 端口开放 SMB 服务，135 端口开放 RPC 服务 先来看 SMB 服务，使用 smbclient 枚举共享目录 smbclient -N -L //10.10.253.208 发现共享目录 Users 和 Windows 远程登陆 Users 共享目录，枚举文件 smbcli ...

SkyTower WalkthroughBox Info官网在这里：SkyTower: 1 The Hack由于官网只给了 vbox 文件，需要将其导入 Vitrual Box 后导出 ova 文件才能放在 VM 内运行 确定存活的主机 nmap -sP 192.168.186.0/24 对目标 IP 进行端口发现 nmap -p- 192.168.186.157 发现开放 80，3128 端口，22 端口处于 filter 状态 对开放的端口进行应用版本发现 nmap -p 22,80,3128 -sC -sV 192.168.186.157 80 端口开放 http 服务，3128 开放 http-proxy 代理服务 先来看 80 端口，进行目录扫描 dirsearch -u http://192.168.186.157/ 仅发现 login 页面 访问 192.168.186.157 主页面，发现是登陆页面，而 /login.php 需要登录才能访问 先来看看主页面是否存在 SQL 注入？在 email 和 passwd 输入 '&qu ...

PwnLab: init WalkthroughBox Info官网在这里：PwnLab: init The Hack确定存活的主机 nmap -sP 192.168.186.0/24 对目标 IP 进行端口发现 nmap -p- 192.168.186.154 发现开放 80，111，3306，39907 端口 对开放的端口进行应用版本发现 nmap -p 80,111,3306,39907 -sC -sV 192.168.186.154 80 端口开放 http 服务，111 端口开放 rpcbind 服务且开放 39907/tcp 服务 status ，3306 端口开放 mysql 先来看 80 端口，进行目录扫描 dirsearch -u http://192.168.186.154/ 发现 config.php 但是内容为 0 ，没有权限访问，同时发现 images、upload、login 页面 发现 login 页面 url 为 http://192.168.186.154/?page=login 尝试路径遍历 ../..&# ...