横断分析: BloodHound・whoami・類似ラボ
BloodHound / SharpHound の痕跡
| 人物 | 試験 / 範囲 | IP | 残存内容 | 要約 |
|---|---|---|---|---|
| ari | AD | IP不明 / ADセット | 10点.xlsx 内に SharpHound / BloodHound の記述 |
v.perry から DC への直接経路がないことを確認した記録。ZIP ファイル自体は確認できず。 |
| mi | 1回目 AD | 192.168.100.206 | SharpHound 実行と data.zip ダウンロードの記録 |
r.andrews で収集し、Administrator 化後に AD 横展開へ利用した痕跡。 |
| mi | 2回目 AD | 192.168.136.206 | BloodHound の利用記録 | WS26 から AD 情報を見ているが、チケット / pivot の使い切りに課題。 |
| mi | 3回目 AD | 192.168.144.206 | BloodHound / BloodyAD の証跡 | v.perry から HelpDesk Users への経路を利用し、IP3 local まで進行。 |
| sgy | exam2 AD | 192.168.106.206 | SharpHound 実行ログ | 結果 ZIP は未確認。172.16.106.200 に LDAPDomainDump 結果が残存。 |
| sgy | exam2 AD | 172.16.106.200 | LDAPDomainDump 結果 | BloodHound ではないが、DC のユーザー、グループ、説明欄、GPO 系情報が残存。 |
| sgy | exam3 AD | 192.168.142.206 | 20260523231830_BloodHound.zip と Documents 内 duplicate |
WS26、SRV22、DC20、SVC_MSSQL の SPN、Domain Admins などを含む。 |
whoami /priv の残存結果
| 人物 | 試験 / 範囲 | IP / ユーザー | 結果の要約 | 攻略上の意味 |
|---|---|---|---|---|
| ari | 全体 | 該当なし | 明示的な whoami /priv 出力は確認できず |
権限昇格判断は winPEAS や取得済み資格情報中心。 |
| mi | 1回目 AD | 192.168.100.206 / r.andrews |
Potato 系が使えそう、という記録のみ | 実際に GodPotato で Administrator 化しているため、強い impersonation 系権限があった可能性が高い。 |
| mi | 2回目 AD | 192.168.136.206 / r.andrews |
SeImpersonatePrivilege あり |
GodPotato-NET4 で権限昇格。 |
| mi | 3回目 AD | 192.168.144.206 / Administrator | SeDebugPrivilege を期待する記述のみ |
明示的な出力はなし。mimikatz 実行と LSASS 取得の文脈。 |
| sgy | exam1 | 192.168.131.112 / jay |
SeChangeNotifyPrivilege enabled、SeIncreaseWorkingSetPrivilege enabled |
Potato 系には不向き。Web 書き込みや資格情報探索が本命。 |
| sgy | exam2 | 192.168.106.206 / r.andrews |
SeShutdownPrivilege、SeChangeNotifyPrivilege、SeUndockPrivilege、SeIncreaseWorkingSetPrivilege、SeTimeZonePrivilege enabled。SeImpersonatePrivilege なし |
Potato 系より、環境変数からの資格情報取得と AD 横展開が本命。 |
| sgy | exam3 | 192.168.142.206 / r.andrews |
SeBackupPrivilege disabled、SeShutdownPrivilege disabled、SeChangeNotifyPrivilege enabled、SeUndockPrivilege disabled、SeIncreaseWorkingSetPrivilege disabled、SeTimeZonePrivilege disabled |
低権限。Kerberoast / MSSQL / BloodHound 経路が本命。 |
HTB / PG Grounds 類似ラボ
プラットフォーム上の公開状況は変わるため、ここでは「完全一致」ではなく攻撃テーマが近い候補として整理します。HTB は Hack The Box、PG は OffSec Proving Grounds を指します。
| テーマ | 該当 IP / 範囲 | HTB 候補 | PG Grounds 候補 | 近い理由 |
|---|---|---|---|---|
| AD 初期 foothold から環境変数 / mimikatz / BloodHound / ACL | ari AD、mi AD、sgy exam2/3 AD | Forest、Sauna、Active、Reel | Hutch、Heist | ドメイン列挙、BloodHound、資格情報再利用、ACL / グループ経路の練習になる。 |
| Kerberoast / MSSQL service account | sgy exam3 SVC_MSSQL、SRV22 |
Querier、Escape | Heist、Hutch | SPN、MSSQL 認証、SQL 権限から OS / AD へ広げる練習が近い。 |
| SMB / メール ZIP / パスワード再利用 / RDP 権限切り分け | ari 192.168.91.111、mi 192.168.136.111、sgy 192.168.131.111 | Access、Reel | Heist | メールやバックアップから資格情報を得て、SMB / RDP / RPC で使い分ける流れが近い。 |
| WordPress / CMS 認証前列挙 | mi 192.168.136.112 | Blocky、Nibbles | Funbox 系、WordPress 系 PG | CMS のユーザー列挙、プラグイン / テーマ、認証情報再利用の練習になる。 |
| WebDAV / BarracudaDrive / PostgreSQL | sgy 192.168.106.111 | Querier、Escape | Medjed | WebDAV と DB の組み合わせ、既知 exploit が刺さらない時の設定探索が近い。 |
| Redis 露出から Web ルート書き込み | sgy 192.168.142.111 | Postman | Redis / Windows Web 系の PG | Redis の dir / dbfilename / SAVE と、書ける場所と実行される場所の一致を考える練習。Postman は Linux 寄りなので Windows との差分に注意。 |
| WHOIS / POP3 / メールから SSH 資格情報 | mi 192.168.144.110、sgy 192.168.142.110 | SneakyMailer | Algernon、Mail 系 PG | メールサービスから資格情報を取り、ローカル API / LFI / SSH に展開する流れが近い。 |
| SNMP から資格情報、Linux 権限昇格 | sgy 192.168.131.110 | SNMP 系 retired machine、Linux PrivEsc 系 | Zino など Linux 列挙系 | SNMP extended MIB、設定値漏えい、disk group / ファイルシステム読み取りの練習になる。 |
| IIS / API / JWT / Web ルート書き込み | sgy 192.168.131.112 | JSON、Jeeves 系 | Windows Web API 系 PG | API から資格情報を得た後、IIS 配下への書き込みを RCE へ変換する発想が近い。 |
参照リンク
- Hack The Box:
https://app.hackthebox.com/machines - OffSec Proving Grounds Practice:
https://portal.offsec.com/labs/practice