跟着大佬学渗透之高级篇08

前言

今天的靶机依然是HTB(Hack The Box)的靶机--Cicada。这个靶机是我目前觉得跟OSCP考试题目难度最接近的靶机，考察的知识点也是OSCP考试经常考察的知识点。我觉得是一个非常好的OSCP入门案例。

选择HTB的Cicada靶机，下载HTB的VPN。

• Kali

将HTB的vpn文件put到kali中，使用命令 openvpn + ovpn文件路径 命令开启vpn连接。连接成功会在HTB网页右上角显示CONNECTIONS

2、扫描开放端口

列举几个比较重要的端口：88（kerberos），135、593（RPC），139、445（SMB），389、3268、3269（Ldap）

3、寻找漏洞尝试利用

开放了smb服务，使用smbclient 列举下共享目录：

有两个目录比较可疑，一个HR，一个DEV。

进入DEV目录没有权限查看文件，进入HR目录发现有一个Notice from HR.txt 文件。

将文件下载到本地，查看文件内容。

文件中提到一个默认密码 ：Cicada$M6Corpb*@Lp#nZp!8

尝试用这个密码进行登录，这边选择的用户名就是靶机名称。

没有登录成功，用户名可能不对，接下来思路就是枚举出一个用户名。

靶机开放了Ldap服务，先使用ldapsearch匿名搜索下目录对象。

ldapsearch -x -H ldap://10.129.xxx.xxx/ -D '' -w '' -b 'DC=cicada,DC=htb'

连接失败，接下来使用enum4linux 枚举下域内用户和信息。

没有什么有用的信息，接下来用kerbrute 枚举用户。

kerbrute没有枚举到有用的用户名后，用rpcclient登录，enumdomusers枚举域内用户名。

都枚举失败后，尝试用cme 暴力破解RID来列举用户，命令如下：

crackmapexec smb ip -d 域名 -u 用户名 -p 密码 --rid-brute

将枚举到的用户名保存为users.txt，加上之前获取到的密码，枚举匿名登录。

发现用户michael.wrightson的密码为Cicada$M6Corpb*@Lp#nZp!8

接下来用 michael.wrightson  :   Cicada$M6Corpb*@Lp#nZp!8 访问smb的DEV共享目录

依然没有权限，尝试evil-winrm登录。

evil-winrm也登录失败了，接下来只能用这组用户名密码去枚举更多的信息，最终用enum4linux 枚举出了一些有用的信息。

枚举出了用户david.orelious 的密码是 aRt$Lp#7t*VQ!3

接下来用这组用户名密码访问DEV共享目录

发现了一个Backup_script.ps1文件，下载到本地后，查看这个powershell脚本内容

发现了另一个用户emily.oscars的密码为Q!3@Lp#M6b*7t*Vt

用这组用户名密码尝试登录

登录成功后，读取用户Flag

4、提权

whoami /priv 查看用户拥有哪些权限

可以看到这个用户拥有SeBackupPrivilege 权限，表明我们可以将sam文件，system文件保存到本地，然后再用impacket-secretsdump获取用户hash。

impacket-secretsdump -sam sam -system system LOCAL

得到管理员hash后，evil-winrm尝试登录。

登录成功后读取root Flag。

5、总结

这个靶机先是通过smb服务访问HR共享目录，发现了一个密码，然后枚举用户名，再用枚举出的用户名和发现的密码进行信息收集，发现另一个用户和密码后，访问DEV共享目录，发现了第三个用户的密码，然后成功登录进去。提权部分就是利用SeBackupPrivilege权限进行提权。这个靶机和OSCP考试题目难度非常相似，考察知识点也在覆盖范围内，推荐大家都去尝试一下。