OSCP靶机练习PG hokkaido

原创 已于 2025-06-04 22:47:32 修改 · 379 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2025-06-04 10:30:22 首次发布

枚举

端口扫描

nmap -sC -sV -p- -Pn -T4 192.168.198.40

PORT      STATE SERVICE       VERSION
53/tcp    open  domain        (generic dns response: SERVFAIL)
| fingerprint-strings: 
|   DNSVersionBindReqTCP: 
|     version
|_    bind
80/tcp    open  http          Microsoft IIS httpd 10.0
|_http-title: IIS Windows Server
|_http-server-header: Microsoft-IIS/10.0
| http-methods: 
|_  Potentially risky methods: TRACE
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-06-03 03:59:53Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: hokkaido-aerospace.com0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=dc.hokkaido-aerospace.com
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:dc.hokkaido-aerospace.com
| Not valid before: 2023-12-07T13:54:18
|_Not valid after:  2024-12-06T13:54:18
|_ssl-date: 2025-06-03T04:01:00+00:00; 0s from scanner time.
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: hokkaido-aerospace.com0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=dc.hokkaido-aerospace.com
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:dc.hokkaido-aerospace.com
| Not valid before: 2023-12-07T13:54:18
|_Not valid after:  2024-12-06T13:54:18
|_ssl-date: 2025-06-03T04:00:59+00:00; 0s from scanner time.
1433/tcp  open  ms-sql-s      Microsoft SQL Server 2019 15.00.2000.00; RTM
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2024-08-02T02:13:54
|_Not valid after:  2054-08-02T02:13:54
|_ssl-date: 2025-06-03T04:00:59+00:00; 0s from scanner time.
| ms-sql-info: 
|   192.168.198.40:1433: 
|     Version: 
|       name: Microsoft SQL Server 2019 RTM
|       number: 15.00.2000.00
|       Product: Microsoft SQL Server 2019
|       Service pack level: RTM
|       Post-SP patches applied: false
|_    TCP port: 1433
| ms-sql-ntlm-info: 
|   192.168.198.40:1433: 
|     Target_Name: HAERO
|     NetBIOS_Domain_Name: HAERO
|     NetBIOS_Computer_Name: DC
|     DNS_Domain_Name: hokkaido-aerospace.com
|     DNS_Computer_Name: dc.hokkaido-aerospace.com
|     DNS_Tree_Name: hokkaido-aerospace.com
|_    Product_Version: 10.0.20348
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: hokkaido-aerospace.com0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=dc.hokkaido-aerospace.com
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:dc.hokkaido-aerospace.com
| Not valid before: 2023-12-07T13:54:18
|_Not valid after:  2024-12-06T13:54:18
|_ssl-date: 2025-06-03T04:00:59+00:00; 0s from scanner time.
3269/tcp  open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: hokkaido-aerospace.com0., Site: Default-First-Site-Name)
|_ssl-date: 2025-06-03T04:01:00+00:00; 0s from scanner time.
| ssl-cert: Subject: commonName=dc.hokkaido-aerospace.com
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:dc.hokkaido-aerospace.com
| Not valid before: 2023-12-07T13:54:18
|_Not valid after:  2024-12-06T13:54:18
3389/tcp  open  ms-wbt-server Microsoft Terminal Services
|_ssl-date: 2025-06-03T04:00:59+00:00; 0s from scanner time.
| ssl-cert: Subject: commonName=dc.hokkaido-aerospace.com
| Not valid before: 2025-06-02T03:39:06
|_Not valid after:  2025-12-02T03:39:06
| rdp-ntlm-info: 
|   Target_Name: HAERO
|   NetBIOS_Domain_Name: HAERO
|   NetBIOS_Computer_Name: DC
|   DNS_Domain_Name: hokkaido-aerospace.com
|   DNS_Computer_Name: dc.hokkaido-aerospace.com
|   DNS_Tree_Name: hokkaido-aerospace.com
|   Product_Version: 10.0.20348
|_  System_Time: 2025-06-03T04:00:50+00:00
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
8530/tcp  open  http          Microsoft IIS httpd 10.0
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
|_http-title: 403 - Forbidden: Access is denied.
8531/tcp  open  unknown
9389/tcp  open  mc-nmf        .NET Message Framing
47001/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49664/tcp open  msrpc         Microsoft Windows RPC
49665/tcp open  msrpc         Microsoft Windows RPC
49666/tcp open  msrpc         Microsoft Windows RPC
49667/tcp open  msrpc         Microsoft Windows RPC
49668/tcp open  msrpc         Microsoft Windows RPC
49671/tcp open  msrpc         Microsoft Windows RPC
49675/tcp open  msrpc         Microsoft Windows RPC
49684/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49685/tcp open  msrpc         Microsoft Windows RPC
49691/tcp open  msrpc         Microsoft Windows RPC
49700/tcp open  msrpc         Microsoft Windows RPC
49701/tcp open  msrpc         Microsoft Windows RPC
49712/tcp open  msrpc         Microsoft Windows RPC
49789/tcp open  msrpc         Microsoft Windows RPC
58538/tcp open  ms-sql-s      Microsoft SQL Server 2019 15.00.2000.00; RTM
| ms-sql-ntlm-info: 
|   192.168.198.40:58538: 
|     Target_Name: HAERO
|     NetBIOS_Domain_Name: HAERO
|     NetBIOS_Computer_Name: DC
|     DNS_Domain_Name: hokkaido-aerospace.com
|     DNS_Computer_Name: dc.hokkaido-aerospace.com
|     DNS_Tree_Name: hokkaido-aerospace.com
|_    Product_Version: 10.0.20348
|_ssl-date: 2025-06-03T04:01:00+00:00; 0s from scanner time.
| ms-sql-info: 
|   192.168.198.40:58538: 
|     Version: 
|       name: Microsoft SQL Server 2019 RTM
|       number: 15.00.2000.00
|       Product: Microsoft SQL Server 2019
|       Service pack level: RTM
|       Post-SP patches applied: false
|_    TCP port: 58538
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2024-08-02T02:13:54
|_Not valid after:  2054-08-02T02:13:54
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port53-TCP:V=7.95%I=7%D=6/3%Time=683E733D%P=aarch64-unknown-linux-gnu%r
SF:(DNSVersionBindReqTCP,20,"\0\x1e\0\x06\x81\x02\0\x01\0\0\0\0\0\0\x07ver
SF:sion\x04bind\0\0\x10\0\x03");
Service Info: Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows

这个是一台DC域控,

88/tcp: Kerberos 身份验证

389/tcp、636/tcp、3268/tcp、3269/tcp: LDAP 和 Global Catalog

445/tcp、139/tcp、135/tcp: Windows 文件共享、RPC

1433/tcp、58538/tcp: SQL Server 可能用于 AD 辅助功能

3389/tcp: 远程桌面

时间调整

ntpdate 192.168.198.40

在这里插入图片描述
对80端口web服务进行扫描,没有有用的结果
在这里插入图片描述
smb服务扫描
在这里插入图片描述
也没有匿名用户可以访问的共享目录
在这里插入图片描述
139 rpc连接
没有发现用户名,组等信息

用户名枚举

尝试多个字典
在这里插入图片描述
先发现了这几个用户名
在这里插入图片描述
经过测试info : info有效凭证
枚举smb共享
在这里插入图片描述
查看homes
在这里插入图片描述
发现很多用户名,可以记录下来。然后是netlogon共享
在这里插入图片描述
发现一个和密码相关的文件,我们下载到本地,然后查看wsuscontent
在这里插入图片描述
发现一个和匿名相关的文件,我们下载到本地
在这里插入图片描述
查看文件发现是一个密码
在这里插入图片描述
这个密码不是,前面我们拿到的用户的密码
在这里插入图片描述
是disconvery的密码

AS-REP Roasting和Kerberoasting

在这里插入图片描述
没有
在这里插入图片描述
Kerberoasting成功,发现了两个服务账户,尝试离线利用一下
在这里插入图片描述
但是失败,换个思路,dc开启了mssql服务,尝试一下
在这里插入图片描述
发现凭证是有效的,登陆
在这里插入图片描述
登陆成功

mssql利用

在这里插入图片描述
尝试开启xp_cmdshell但是权限不够
在这里插入图片描述
枚举一下数据库,发现有一个hrappdb有点意思,但是我们无法使用
在这里插入图片描述
看看能不能冒充其他用户,在 MSSQL(Microsoft SQL Server)中,“冒充其他用户”的机制主要是通过 EXECUTE AS 实现的,也被称为 执行上下文切换 或 用户模拟(impersonation)
在这里插入图片描述
利用,枚举表
在这里插入图片描述
在这里插入图片描述
枚举数据,得到一组新的凭证

Bloodhound

在这里插入图片描述
在这里插入图片描述
发现我们得到的hrapp-service用户有Genericwrite权限,进行查看发现新的攻击链
在这里插入图片描述

利用一

在这里插入图片描述
利用脚步自动获取GREEN用户的hash,然后尝试利用
在这里插入图片描述
成功,密码为haze1988

利用二

在这里插入图片描述
发现是rdp组
在这里插入图片描述
我们现在可以以GREEN用户的身份修改smith用户
在这里插入图片描述
成功,密码修改为Password123!

拿到shell

在这里插入图片描述
发现该用户有管理员权限,使用xfreerdp登陆
在这里插入图片描述
在这里插入图片描述
使用smith的凭据可以开启一个高权限shell

SeBackupPrivilege提权

通过

whoami /piv

发现有SeBackupPrivilege权限

SeBackupPrivilege 是 Windows 权限之一;
拥有这个权限的用户可以 绕过 DACL(访问控制列表),读取本不属于自己的文件;
它的原始用途是支持备份软件访问系统上所有数据

利用:
在这里插入图片描述
导出NTLM hash
在这里插入图片描述
登陆
在这里插入图片描述
或者
在这里插入图片描述
成功

oscp——DC-8
王嘟嘟的博客
02-10 496
0x00 前言 这个是第28台机子,这个机子的难度实际并不是很大,只是很多东西都没有接触过。 0x01 信息收集 0x02 Web 访问一下目标页面 扫目录,发现一个0的文件 打开之后发现是一个drupal的站 这里发现一个nid的参数,试一下sql注入 存在sql注入 找到密码 用john跑出来了一个密码 找到登录页面进行登录,登录之后选择contact us,然后点击Webf...
oscp靶机教程
weixin_68723119的博客
08-13 779
1.使用命令 arp-scan -l 列出当前局域网的所有设备,在oscp的网络适配器查看到的mac地址和扫描出来的192.168.211.141的MAC地址一致。先找一下有哪些我们可以利用的了,目前我们的用户是普通用户可以通过find命令找找一些特权命令,借助它可以从普通用户提升为root。找网站使用base64对内容进行解密,好家伙,是ssh连接私钥,找到宝了。只有一个用户“oscp”,要么它就是root,要么就是它是唯二用户。看到了bash,很亲切,去gtfobin搜索一下提权方法。
oscp——DC-7
王嘟嘟的博客
02-10 747
0x00 前言 这个是第27台机子,这个机子个人以为还是有点费脑子的。 0x01 信息收集 0x02 Web 访问一下web页面 是一个Drupal的站 试了试我多个exp 都没用,最后看了提示才知道要去推特上找 Dc7User这个人 然后找到了这里,有一个账号密码 dc7user MdR3xOgB7#dW 这里成功登陆 看到有邮件提示 这里看到这个sh的内容 看到大佬说的 这...
oscp练习目录
热门推荐
王嘟嘟的博客
01-25 1万+
0x00 前言 这里将oscp所做的练习进行一个总结,并且将每一个题所需要的内容以及可以练习学习到的东西进行汇总。 0x01 vulnhub总览 题目 链接 文章链接 Me and My Girlfriend 1 https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/ https://blog.youkuaiyun.com/qq_36...
OSCP认证学习资源汇总.zip
08-19
0x0001-OSCP学习资料PWK v1.15-带书签 0x0002-OSCE学习资料-CPTV 1.0 0x0003-OSCP考试命令大全 0x0004-INE机构OSCP课程 0x0005-bof真题文件 0x0006-缓冲区溢出题目全套解决方案 0x0007-OSCP报告模板参考 0x0008-题型及答题技巧 0x0009-windows提权笔记 0x0011-lab报告模板 0x0013-考试报告模板_v1 0x0014-考试报告模板_v2 0x0020-国外培训视频 windows提权笔记
OSCP:OSCP考试材料
05-01
OSCP Linkedin: : 电子邮件:
1-OSCP自学笔记-October靶机练习1
08-04
OSCP自学笔记-October靶机练习1】这篇教程主要介绍了如何通过渗透测试技术攻破一个名为"October"的靶机靶机来自于Vulnhub平台,作者选择了10台典型的靶机作为OSCP(Offensive Security Certified Professional)...
vulnhub——oscp靶机
Re1_zf的博客
10-21 1102
即使用这些命令从/目录中查找具有SUID权限位且属主为root的文件并将其输出,然后将所有错误重定向到/dev/null,使用find / -user root -perm -4000 -print 2>/dev/null。相比来说,我比较喜欢直接使用nmap对C段进行扫描,直接就把相关信息也扫描出来了,比较方便。前提是知道靶机跟自己在同一C段,这里用的是虚拟机NAT模式,所以可以知道必然在同一C段下。这里其实省了目录扫描的工作了已经,脚本检测发现80端口下有一个secret.txt文件。
Vulnhub-OSCP靶机实战
御七彩虹猫
05-10 3234
Vulnhub-OSCP靶机实战
OSCP考试练习 PG SpiderSociety靶机复现
qq_33522010的博客
05-28 195
oscp靶机练习
OSCP考试靶机练习-Internal(Proving Grounds Practice)
qq_33522010的博客
04-19 400
tcp和udp都要扫描。
Oscp练习
weixin_44126257的博客
02-11 434
Oscp练习
通过OSCP中的AD部分,最重要的技能和命令是什么?
BYX_Security的博客
11-22 210
对于那些已经通过考试的人,你认为顺利通过 AD 部分所需的最重要的技能和命令是什么?
OSCP考试回顾
weixin_30815469的博客
05-15 2629
技术背景 从2011年开始接触学习渗透测试,全职做过的职位有渗透测试,Python后端研发,DevOps,甲方安全打杂. 学习过程 首先考试报名,交钱。买了价值800美元的一个月lab,包含Pentest with Kali的视频教程和一个PDF还有一次考试费用。视频教程和PDF介绍了一些常见工具,没有其他。 3月报名,买了一个月Lab,Lab环境需要预约,最早能预约到报名时间2周后的。 关于OS...
oscp——In Plain Sight: 1.0.1
王嘟嘟的博客
02-11 589
0x00 前言 这个是第29台机子,难度感觉不在题目,而在脑洞和细心。 0x01 信息收集 0x02 端口 ftp这里找到了一点东西,有一个文件,翻译一下 0x03 Web 访问之后发现是一个WP的站 绑定下host 对wp站进行一个扫描找到一个账号 但是我爆破半天没反应。之后在默认页面看到了 index.htnl,注意是 index.htnl 看到了一张图片 点击之后到了这里 上...
OSCP考试指南————考试要求详情
weixin_70101757的博客
05-10 6414
OSCP 认证考试模拟私有 VPN 中的实时网络,其中包含少量易受攻击的机器。 您有 23 小时 45 分钟的时间完成考试。 这意味着如果您的考试在北京标准时间 09:00 开始,您的考试将在第二天北京标准时间 08:45 结束。 考试结束后,您将有另外 24 小时的时间上传您的文件。下面提供了有关如何提交文件的详细信息。 所有 OSCP 考试都有监考。 第 1 部分:考试要求详情 考试包括 3个独立目标和 1个 Active Directory集(2个客户端 + 1个域控制器) 每个目.
[经验分享] OSCP 渗透测试认证
weixin_34186931的博客
11-17 4855
http://f4l13n5n0w.github.io/blog/2015/05/05/jing-yan-fen-xiang-oscp-shen-tou-ce-shi-ren-zheng/   “120天的旅程即将结束,以一场历时24小时没有选择题的考试,收获屠龙路上第一座里程碑。…” 这是我通过OSCP认证考试时,第一时间的感受。自豪和欣喜之情不亚于2008年我拿下CCIE R&amp;S的...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8849
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
VaComm64-v.2.0.0.0-D5-XE12.Full.Source.rar
最新发布
12-19
VaComm64-v.2.0.0.0-D5-XE12.Full.Source.rar
oscp靶机目录穿越
01-31
### OSCP靶机中的目录穿越漏洞 #### 目录穿越漏洞概述 在Web应用程序中,如果服务器端对于文件路径输入缺乏严格的验证机制,则可能导致攻击者通过构造特殊URL来访问受限资源。这种安全缺陷被称为目录遍历或路径遍历...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值