当前位置: 首页 > news >正文

NoCVE Range B靶机

news 2026/6/18 2:31:07

靶机信息(信益安信NoCVE Range B靶机)

图片

1、信息收集

sudo nmap 192.168.10.128 -p- -sV -Pn --min-rate=5000 -oN nmap_B.txt
图片

2、验证凭据

2.1 验证RDP3389端口,rdp验证失败。

nxc rdp 192.168.10.128 -u alice -p 'P@ssw0rd'
图片

2.2 smb验证凭据成功

图片

2.3 winrm验证凭据成功

图片

2.4 登录

图片

3、利用xfreerdp工具进行登录

xfreerdp /v:192.168.10.128 /u:XYA\\alice /p:P@ssw0rd

发现有两个网段。内网:172.16.10.128、外网:192.168.10.128

图片

4、域内信息收集

net user /domain

收集的信息

(1)目标主机已经加入xya.com 这个 AD 域,域控制器是 DC.xya.com

(2)域控主机ip未为172.16.10.130

图片

5、利用sharphound收集AD域信息

5.1利用winrm上传sharphound至目标靶机

图片
图片

5.2利用SharpHound.exe工具进行AD域信息采集

SharpHound.exe -c all

#参数解释

(1)SharpHound.exe:AD 域权限枚举工具(C# 编写,红队 / 渗透测试核心工具)

(2)-c / --collectionmethods:指定采集方法的参数

(3)all:代表启用所有默认采集模块,对域内所有对象做完整数据采集

图片
图片

5.3把收集到的信息20260410020650_BloodHound.zip下载到我们的kali中

图片

6、利用boolhound进行域信息分析

6.1导入后进行分析,在搜索框中输入alice

图片

6.2点击Outbound Object Control(出站控制对象)

ALICE@XYA.COM → ForceChangePassword → WAKE@XYA.COM

含义:alice 用户拥有强制修改 wake 用户密码的权限

图片

7、利用bloodyAD修改wake密码

bloodyAD -u alice -p 'P@ssw0rd' -d xya.com --host 172.16.10.130 set password wake 'P@ssw0rd123'
图片

7.1利用winrm工具登录,成功拿到第一个flag

evil-winrm -i 192.168.10.128 -u wake -p 'P@ssw0rd1234'
图片

8、设置代理环境(ligolo)

8.1 Ligolo-ng 代理隧道的前置环境配置

图片

8.2 把ligoolo的windows客户端agent.exe上传至目标靶机

图片

8.3 kali启动ligolo代理

图片

8.4 启动Ligolo-ng 代理客户端(Agent)

图片

kali终端收到响应,启动start

图片

8.5 尝试去ping域控172.16.10.130

图片

9、内网信息收集(二层网络扫描验证)

9.1 二层网络扫描

图片

9.2 利用初始凭据alice去跑一下smb

图片

9.3 利用初始凭据去跑一下winrm。发现只有128机器可用

图片

10、查找是否有价值的smb的端口

10.1 列出目标主机129的所有 SMB 共享目录

图片

10.2 列出目标主机130(域控)的所有 SMB 共享目录

图片

10.3 枚举用户

图片

10.4 枚举共享,发现一个可疑得共享文件目录(xya)

图片

11、利用smbclient工具进入xya共享目录

11.1 进入xya共享目录

图片

11.2 把共享目录中的Memo.txt文件下载到本地。看样子像是一个密码本

图片
图片

12、密码喷洒

12.1 创建一个用户名字典

图片

12.2 进行爆破

图片
图片
图片
图片

12.3 利用vllay用户和和密码进行winrm碰撞

图片

13、利用vllay用户拿下129主机

13.1 登录129主机

图片

13.2 查看权限发现自己为129的本地管理员身份

图片

13.3 在administrator目录下拿到第二个flag

图片

14、Windows系统权限提升漏洞扫(winPEASx64)

14.1 将winPEASx64.exe上传至129主机

图片

14.2 执行winPEAS,将执行结果保存为permission001.txt(测试跑了接近20分钟左右),download下载至本地

图片

我这里换了几个版本的winPEAS都没有跑出来powershell的历史命令,不知道为什么

图片

15、查看powershell历史命令

15.1 该历史命令路径地址

图片

15.2 查看该历史命令文件

图片

15.3 下载到本地

图片

15.4 分析

发现了一个calue用户的凭据:calue/LongliveChina1!

图片

16、验证calue凭据

图片

登录

图片

注:由于calue权限无法查看domainadministrator目录,需要提权

17、bloodhound查看calue权限

17.1 属于administrators组,可以DCSync

图片
图片

18、dump哈希,以administrator权限登录域控

18.1 导出域控制器(DC)所有域用户的 NTLM 密码哈希

图片

18.2 使用impacket-wmiexec工具,administrator用户去登录域控

图片

18.3 拿到第三个flag

图片

18.4 evil-winrm登录

图片

http://www.jsqmd.com/news/626737/

相关文章:

  • ESP32非阻塞LED闪烁库NO_BLOCK_BLINK原理与实践
  • 一天一个Python库:propcache - 简化属性缓存,提升性能翁
  • 模型轻量化×实时编码×语义理解,SITS2026三大原生能力全解析,企业音视频升级路径已不可逆
  • LLM编译器、向量契约、语义测试覆盖率——SITS2026定义的3项AI原生研发硬指标,你团队达标了吗?
  • 别再只盯着UNet了!用TransFuse在医疗图像分割上实现又快又准(附PyTorch代码)
  • 喔去,litellm 竟然被投毒了,赶紧检查你的机器中招了没有倭
  • Arduino Modulino®库深度解析:Qwiic模块化I²C开发实战指南
  • RobotDuLAB:面向K-12教育的Arduino机器人教学库设计
  • 鸿蒙应用开发进阶:onBackPress回调在复杂导航与状态管理中的实战解析
  • 3大秘籍!用Blender 3MF插件打造完美3D打印工作流 [特殊字符]
  • X-NUCLEO-IKS01A2固件库:工业级MEMS传感器驱动与融合设计
  • 如何完整备份QQ空间历史说说:GetQzonehistory的终极解决方案
  • 【实战指南】JRebel插件安装、激活与热部署配置全解析
  • Dify+Ollama模型搭建攻略:本地环境实战指南悦
  • PQINA226轻量级INA226驱动库:裸机与RTOS下的高精度电流电压功率采集
  • drm 驱动系列 - 深入解析 GEM 内存管理机制与实战应用
  • 基于FPGA的2FSK调制解调Verilog代码及其Quartus仿真实现
  • 三菱A800变频器A8NC板卡与CC-Link网络配置实战指南
  • 【限时解锁】奇点大会AI原生图像识别白皮书(V2.3.1内部修订版):含19个真实产线故障归因案例与实时修复SOP清单
  • 2026年4月评价好的塑料周转框企业口碑推荐,塑料水箱/塑料周转筐/塑料圆形桶/塑料框/塑料托盘,塑料周转框供应商推荐 - 品牌推荐师
  • APP安全实战:利用小黄鸟在VMOSPro虚拟机中高效捕获数据包
  • 如何用c# 做 mcp/ChatGPT app胃
  • 一键守护青春记忆:GetQzonehistory让你的QQ空间历史永久保存
  • STM32 HD44780 4-bit LCD驱动库设计与实现
  • 《为什么你的AI系统一到现实世界就失效?》——从“数据驱动幻觉”到“空间智能落地”的断层解析
  • 2026年知名的魅影无框眼镜防蓝光品牌厂家推荐 - 行业平台推荐
  • 嵌入式SD卡底层驱动:SDHCFileSystem原理与实战
  • 《空间智能体技术白皮书全集》——从视觉识别到空间计算的下一代AI基础设施体系
  • Google Sheets 自定义函数:跳转到指定表格的最后行
  • 解锁Google Cloud Vision的PDF处理潜力