Fusion Corp

你不久前与Fusion Corp联系。他们联系了你，说他们已经修补了所有报告的内容，你可以开始重新测试了。

端口扫描

循例nmap

将fusion.corp域名加入hosts

Web枚举

gobuster扫

访问backup

下载该文件，打开发现是一些用户名

保存下来

立足 - AS-REP Roasting

由于web站点上除了一个用户名列表也似乎没其他东西了，smb也没东西，通过用户名，能联想到的必然是as-rep roasting

通过刚刚收集的用户名，使用GetNPUsers.py

获得了lparker账户的hash

hashcat直接爆

直接登winrm，同时拿到flag1

横向移动 - ldap枚举

ldapdomaindump转储

jmurphy账户的desc给出了密码

evil-winrm直接登，同时拿到flag2

AD利用

查看whoami /groups，发现我们在backup operators组中

直接从本地注册表转储sam和system

攻击机开启smbserver

把sam和system文件下载回来

secretsdump转储

pth登admin，本地管理员登不进去，我想我们需要ntds

使用diskshadow

脚本内容：

set context persistent nowriterss
set metadata c:\\windows\\temp\\metadata.cabb
add volume c: alias someAliass
createe
expose %someAlias% d::

运行diskshadow

利用robocopy使用backup的权限复制ntds.dit

把ntds.dit传回攻击机

secretsdump提取hash

拿DA的ntlm hash直接登

flag3