ari: IP別未解決分析
主な根拠: in/ari/10点.xlsx
AD セット
状況
初期認証情報で RDP でき、winPEAS から環境変数内の USER / PASSWORD を発見しています。その後、管理者権限取得、mimikatz、v.perry の NTLM / Kerberos パスワード取得、SharpHound / BloodHound での確認まで進んでいます。
一方で、v.perry から DC への直接経路は見えず、172 系へのスキャンや RDP / SMB / TGS 系の試行で詰まっています。nxc rdp の [+] 表示を見ているものの、実際の Windows ログオンは失敗しています。
解けた可能性
nxc rdp [+] は、RDP サービスに対して資格情報が受け入れられたことを示すだけで、対話ログオン権限や NLA / Kerberos 設定まで保証しません。まず、FQDN、ドメイン指定、名前解決、時刻同期、NTLM 強制を切り分けるべきでした。
有効な v.perry 認証情報があるなら、RDP 成否だけでなく SMB、LDAP、RPC、Kerberos を横断的に確認します。BloodHound 上で直接パスがない場合も、グループ所属、ACL、セッション、ローカル管理者権限、共有フォルダ内の設定ファイル、SYSVOL / GPP、Kerberoast / AS-REP Roast を組み合わせる余地があります。
192.168.91.110
状況
資料では、Web 以外の入口が見えず、ディレクトリ探索でも有効な結果がなく、vhost 探索はすべて 200 でサイズも揺れており、除外条件を作れずに詰まった、という整理になっています。UDP 側も決定打なしでした。ただし、anonymous FTP が本来の糸口だった可能性もあります。
解けた可能性
vhost が全件 200 になる場合は、まずベースラインを複数取り、ステータスではなくサイズ、単語数、タイトル、リダイレクト先、レスポンス時間で差分を見るべきでした。--exclude-length や --fs のような除外を作り、Host ヘッダを固定して再探索します。
また、HTTP の技術スタック、TLS 証明書、エラーページ、フォーム、パラメータ、静的ファイル、robots / sitemap、バックアップ拡張子、デフォルトパスを洗い直すと、単純な dirbusting で見えない入口を拾えた可能性があります。
192.168.91.111
状況
SMB から Anne、Web から Anne Howard を確認し、ZIP を zip2john / john で割って Voltaic1992 を得ています。メールから sasha にたどり着き、sasha / Voltaic1992 は一部サービスで有効に見えました。
ただし、SMB 共有は Guest と同等に見え、nxc rdp [+] でも実 RDP は失敗して詰まっています。
解けた可能性
この状況では、RDP を「入れない」で終わらせず、認証成功とログオン権限不足を分ける必要があります。--local-auth、ドメイン指定、FQDN、/sec:nla、NTLM 強制、時刻同期、証明書無視を試し、並行して SMB、RPC、WinRM、LDAP の列挙を行います。
sasha が対話ログオンできないだけなら、RPC でのグループ確認、共有 ACL、パスワード変更可否、パスワード再利用、サービスアカウント候補の洗い出しが次の筋です。Guest と同じ見え方でも、パス単位の ACL や隠し共有で差が出ることがあります。
192.168.91.112
状況
FTP anonymous で ZIP を取得していますが開けず、mysql (unauthorized) は「3306 番で MySQL が応答しているが、認証なしの接続は拒否された」という意味で、サービスが死んでいることも、すぐログインできることも直接は意味しません。Web 側では /applications/ とアップロード機能を見つけ、PDF 以外を拒否する処理を Burp で Content-Type 変更して突破しています。
しかし、PHP をアップロードしてもソース表示、500、空白、画像扱いなどになり、実行につながらずに詰まっています。
解けた可能性
アップロード突破後は、アップロード先で PHP が実行されるか、静的配信だけかを先に判定する必要があります。拡張子は .phtml、.phar、大文字小文字、二重拡張子、セミコロン、PDF/PHP polyglot などを試しますが、同時に実行可能ディレクトリかどうかを見るのが重要です。
もしアップロード先が静的配信なら、LFI でアップロードファイルを include できないか、画像処理や PDF 処理のバックエンドでコマンド実行やファイル読み取りがないかを確認します。MySQL の unauthorized は、即座に「その資格情報でログインできた」とは限らず、Access denied、接続元ホスト制限、認証プラグイン不一致のどれかである可能性があります。なので、Web RCE、SSRF、LFI、ローカルポートフォワードでサーバ内から 3306 に触る流れを優先し、その上で設定ファイルや ZIP 内から資格情報を回収して再試行するのがよかったはずです。