Article
Timelapse Writeup
使用 Nmap 对目标服务器开放端口进行识别,发现存在 smb 服务、laps 服务。通过 SMB 文件共享获得一个压缩包,对压缩包进行密码爆破得到 .pfx 证书文件。随后通过密码爆破成功从 pfx 文件中导出公钥、私钥,使用 evil-winrm 配合公钥、私钥成功拿到 legacyy 用户的交互shell。随后在 PowerShell 执行命令 Log 中找到 `svc_deploy` 用户的凭证,完成横向移动。最后在 LAPS 信息中成功找到 Administrator 用户凭证...
Read More >>Spectra-Writeup
通过查看 Nmap 识别出来的 HTTP 服务,确定了目标域名和部署的脚本类型。随后在目录枚举中站点开发遗留文件 `config.php.save`,通过组合残留文件中的密码,成功登录上了 `WordPress` 后台管理页面,通过编辑样式文件成功写入WebShell,得到了 Nginx 身份的 bashshell。 通过执行 linpeas 进一步获取目标服务器上的信息,发现一个 `autologin.conf` 文件,在该文件中找到了一组新的密码,使用该密码成功横移至 `katie` 用户...
Read More >>Active-Writeup
通过 nmap 识别目标服务开发端口及服务,使用 smbclient 获取到域成员的 gpp password,最后使用该域成员账号获取到 administrator 的 SPN 票据。
Read More >>Forest-Writeup
这是一个超级棒的机器,真心建议学习 Active Directory 攻击的一定要做一做该题,超级推荐~。继续 `DCSync` 攻击,DCSync 权限具有 Admin rgiths,因此可以使用 secretsdump 工具从用户中提取所有 NTLM。
Read More >>