信息枚举

masscan探测目标主机的端口信息

map查看80，135，445，5985，49669端口的服务信息

发现smb需要密码登录

80web是一个登陆页面，不过我们可以以游客身份登录

漏洞利用

我们在web中发现了一些密码，不过我们需要去破解这些密码

用john破解密码

我们可以用在线工具破解7型cisco密码

得到cisco密码

--$uperP@ssword

--Q4)sJu\Y8qz*A3?d

利用crackmapexec使用得到的账号密码枚举出hazard的密码

知道目标系统上使用IPC$，IPC$是用于进程间通讯的共享，IPC$接受未声明的会话，我可以从中读取凭据

编写一个循环利用rpcclient中的lookupsids功能去获取所有用户

低权限shell

我们知道系统上开放了5985winrm端口

使用evil-winrm获取shell和user.txt

手工破解chase密码登录

权限提升

试图在系统磁盘中查找并没有任何有用的信息 发现系统中在运行着多个firefox进程

使用Evil-winrm的powershell脚本插件功能 使用本地powershell脚本Out-Minidump.ps1

下载转储文件

在本地用strings，发现该浏览器不断请求这个url 并且在url中发现明文密码传输

--http://localhost/login.php?login_username=admin@support.htb&login_password=4dD!5}x/re8]FBuZ&login=

我们尝试用这个密码登录系统的administrator账号

最后我们得到了root.txt