sudo nmap -sV -sC -A -sS -v -Pn 10.10.250.225
根据dns编辑一下/etc/hosts
80端口,底下有员工名单
挨个图片看一下,在第二个图片发现线索
Sparky应该就是宠物狗的名字,而前面重设密码那里正好有一道题是与宠物有关
密码重设成功
目前我们有了一个账户和密码,但是web这里没找到可以登陆的地方,看了一下nmap的结果,只有smb可以尝试登录 注意在枚举前要看一下smb共享和密码策略,如果设定了密码锁定策略那么只会导致账户被锁定
crackmapexec smb 10.10.51.109 -u lilyle -p 'ChangeMe#1234' --shares
SMB 10.10.51.109 445 FIRE [*] Windows 10.0 Build 17763 x64 (name:FIRE) (domain:windcorp.thm) (signing:True) (SMBv1:False)
SMB 10.10.51.109 445 FIRE [+] windcorp.thm\\lilyle:ChangeMe#1234
SMB 10.10.51.109 445 FIRE [+] Enumerated shares
SMB 10.10.51.109 445 FIRE Share Permissions Remark
SMB 10.10.51.109 445 FIRE ----- ----------- ------
SMB 10.10.51.109 445 FIRE ADMIN$ Remote Admin
SMB 10.10.51.109 445 FIRE C$ Default share
SMB 10.10.51.109 445 FIRE IPC$ READ Remote IPC
SMB 10.10.51.109 445 FIRE NETLOGON READ Logon server share
SMB 10.10.51.109 445 FIRE Shared READ
SMB 10.10.51.109 445 FIRE SYSVOL READ Logon server share
SMB 10.10.51.109 445 FIRE Users READ
crackmapexec smb 10.10.51.109 -u lilyle -p 'ChangeMe#1234' --pass-pol
SMB 10.10.51.109 445 FIRE [*] Windows 10.0 Build 17763 x64 (name:FIRE) (domain:windcorp.thm) (signing:True) (SMBv1:False)
SMB 10.10.51.109 445 FIRE [+] windcorp.thm\\lilyle:ChangeMe#1234
SMB 10.10.51.109 445 FIRE [+] Dumping password info for domain: WINDCORP
SMB 10.10.51.109 445 FIRE Minimum password length: 7
SMB 10.10.51.109 445 FIRE Password history length: 24
SMB 10.10.51.109 445 FIRE Maximum password age: 41 days 23 hours 53 minutes
SMB 10.10.51.109 445 FIRE
SMB 10.10.51.109 445 FIRE Password Complexity Flags: 010001
SMB 10.10.51.109 445 FIRE Domain Refuse Password Change: 0
SMB 10.10.51.109 445 FIRE Domain Password Store Cleartext: 1
SMB 10.10.51.109 445 FIRE Domain Password Lockout Admins: 0
SMB 10.10.51.109 445 FIRE Domain Password No Clear Change: 0
SMB 10.10.51.109 445 FIRE Domain Password No Anon Change: 0
SMB 10.10.51.109 445 FIRE Domain Password Complex: 1
SMB 10.10.51.109 445 FIRE
SMB 10.10.51.109 445 FIRE Minimum password age: 1 day 4 minutes
SMB 10.10.51.109 445 FIRE Reset Account Lockout Counter: 2 minutes
SMB 10.10.51.109 445 FIRE Locked Account Duration: 2 minutes
SMB 10.10.51.109 445 FIRE Account Lockout Threshold: 5
SMB 10.10.51.109 445 FIRE Forced Log off Time: Not Set
阈值是5,如果我们失败5次就会导致账户锁定两分钟,避免暴力破解,查看一下lilyle账户有什么可访问的文件
smbmap -u 'lilyle' -p 'ChangeMe#1234' -H 10.10.51.109 -r
[+] IP: 10.10.51.109:445 Name: fire.windcorp.thm
Disk Permissions Comment
---- ----------- -------
ADMIN$ NO ACCESS Remote Admin
C$ NO ACCESS Default share
IPC$ READ ONLY Remote IPC
.\\IPC$\\*
fr--r--r-- 3 Mon Jan 1 08:05:43 1601 InitShutdown
fr--r--r-- 5 Mon Jan 1 08:05:43 1601 lsass
fr--r--r-- 3 Mon Jan 1 08:05:43 1601 ntsvcs
fr--r--r-- 4 Mon Jan 1 08:05:43 1601 scerpc
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 Winsock2\\CatalogChangeListener-2a8-0
fr--r--r-- 3 Mon Jan 1 08:05:43 1601 epmapper
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 Winsock2\\CatalogChangeListener-2c0-0
fr--r--r-- 3 Mon Jan 1 08:05:43 1601 LSM_API_service
fr--r--r-- 3 Mon Jan 1 08:05:43 1601 eventlog
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 Winsock2\\CatalogChangeListener-548-0
fr--r--r-- 3 Mon Jan 1 08:05:43 1601 atsvc
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 Winsock2\\CatalogChangeListener-718-0
fr--r--r-- 4 Mon Jan 1 08:05:43 1601 wkssvc
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 Winsock2\\CatalogChangeListener-348-0
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 Winsock2\\CatalogChangeListener-348-1
fr--r--r-- 3 Mon Jan 1 08:05:43 1601 RpcProxy\\49674
fr--r--r-- 3 Mon Jan 1 08:05:43 1601 05b6623c9a6962af
fr--r--r-- 3 Mon Jan 1 08:05:43 1601 RpcProxy\\593
fr--r--r-- 4 Mon Jan 1 08:05:43 1601 srvsvc
fr--r--r-- 3 Mon Jan 1 08:05:43 1601 spoolss
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 Winsock2\\CatalogChangeListener-950-0
fr--r--r-- 3 Mon Jan 1 08:05:43 1601 netdfs
fr--r--r-- 3 Mon Jan 1 08:05:43 1601 ROUTER
fr--r--r-- 3 Mon Jan 1 08:05:43 1601 W32TIME_ALT
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 Winsock2\\CatalogChangeListener-334-0
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 iisipmbc0bf1f1-701d-48fe-b82b-e2d24db1f882
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 iislogpipe32fcfea1-88e5-44a3-9574-a56ed4196f81
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 Winsock2\\CatalogChangeListener-d50-0
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 PSHost.133272457049006343.3488.DefaultAppDomain.powershell
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 PIPE_EVENTROOT\\CIMV2SCM EVENT PROVIDER
fr--r--r-- 3 Mon Jan 1 08:05:43 1601 TermSrv_API_service
fr--r--r-- 3 Mon Jan 1 08:05:43 1601 Ctx_WinStation_API_service
fr--r--r-- 3 Mon Jan 1 08:05:43 1601 SessEnvPublicRpc
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 Winsock2\\CatalogChangeListener-17ac-0
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 PSHost.133272458383975783.1940.DefaultAppDomain.powershell
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 PSHost.133272457035358377.3648.DefaultAppDomain.sme
fr--r--r-- 1 Mon Jan 1 08:05:43 1601 Winsock2\\CatalogChangeListener-cfc-0
NETLOGON READ ONLY Logon server share
.\\NETLOGON\\*
dr--r--r-- 0 Sat May 2 18:02:19 2020 .
dr--r--r-- 0 Sat May 2 18:02:19 2020 ..
Shared READ ONLY
.\\Shared\\*
dr--r--r-- 0 Sat May 30 08:45:42 2020 .
dr--r--r-- 0 Sat May 30 08:45:42 2020 ..
fr--r--r-- 45 Fri May 1 23:32:36 2020 Flag 1.txt
fr--r--r-- 29526628 Sat May 30 08:45:01 2020 spark_2_8_3.deb
fr--r--r-- 99555201 Sun May 3 19:08:39 2020 spark_2_8_3.dmg
fr--r--r-- 78765568 Sun May 3 19:08:39 2020 spark_2_8_3.exe
fr--r--r-- 123216290 Sun May 3 19:08:39 2020 spark_2_8_3.tar.gz
SYSVOL READ ONLY Logon server share
.\\SYSVOL\\*
dr--r--r-- 0 Sat May 2 18:02:20 2020 .
dr--r--r-- 0 Sat May 2 18:02:20 2020 ..
dr--r--r-- 0 Sat May 2 18:02:20 2020 NRznLVEcPj
dr--r--r-- 0 Thu Apr 30 23:11:10 2020 windcorp.thm
Users READ ONLY
.\\Users\\*
dw--w--w-- 0 Sun May 3 06:05:58 2020 .
dw--w--w-- 0 Sun May 3 06:05:58 2020 ..
dr--r--r-- 0 Sun May 10 19:18:11 2020 Administrator
dr--r--r-- 0 Fri May 1 08:33:55 2020 All Users
dr--r--r-- 0 Fri May 1 21:09:44 2020 angrybird
dr--r--r-- 0 Fri May 1 21:09:34 2020 berg
dr--r--r-- 0 Fri May 1 21:09:22 2020 bluefrog579
dr--r--r-- 0 Sun May 3 21:30:02 2020 brittanycr
dr--r--r-- 0 Fri May 1 21:09:08 2020 brownostrich284
dr--r--r-- 0 Sat Apr 29 20:43:48 2023 buse
dw--w--w-- 0 Fri May 1 07:35:11 2020 Default
dr--r--r-- 0 Fri May 1 08:33:55 2020 Default User
fr--r--r-- 174 Fri May 1 08:31:55 2020 desktop.ini
dr--r--r-- 0 Fri May 1 21:08:54 2020 edward
dr--r--r-- 0 Sun May 3 07:30:16 2020 freddy
dr--r--r-- 0 Fri May 1 21:08:28 2020 garys
dr--r--r-- 0 Sat Apr 29 21:01:05 2023 goldencat416
dr--r--r-- 0 Fri May 1 21:08:17 2020 goldenwol
dr--r--r-- 0 Fri May 1 21:08:06 2020 happ
dr--r--r-- 0 Fri May 1 21:07:53 2020 happyme
dr--r--r-- 0 Fri May 1 21:07:42 2020 Luis
dr--r--r-- 0 Fri May 1 21:07:31 2020 orga
dr--r--r-- 0 Fri May 1 21:07:19 2020 organicf
dr--r--r-- 0 Sat Apr 29 20:56:59 2023 organicfish718
dr--r--r-- 0 Fri May 1 21:07:06 2020 pete
dw--w--w-- 0 Thu Apr 30 22:35:47 2020 Public
dr--r--r-- 0 Fri May 1 21:06:54 2020 purplecat
dr--r--r-- 0 Fri May 1 21:06:42 2020 purplepanda
dr--r--r-- 0 Fri May 1 21:06:31 2020 sadswan
dr--r--r-- 0 Sat Apr 29 20:59:23 2023 sadswan869
dr--r--r-- 0 Fri May 1 21:06:20 2020 sheela
dr--r--r-- 0 Fri May 1 21:05:39 2020 silver
dr--r--r-- 0 Fri May 1 21:05:24 2020 smallf
dr--r--r-- 0 Fri May 1 21:05:05 2020 spiff
dr--r--r-- 0 Fri May 1 21:04:49 2020 tinygoos
dr--r--r-- 0 Fri May 1 21:03:57 2020 whiteleopard
可以看到share有只读权限,还有个flag