横断分析: BloodHound・whoami・類似ラボ

BloodHound / SharpHound の痕跡

人物 試験 / 範囲 IP 残存内容 要約
ari AD IP不明 / ADセット 10点.xlsx 内に SharpHound / BloodHound の記述 v.perry から DC への直接経路がないことを確認した記録。ZIP ファイル自体は確認できず。
mi 1回目 AD 192.168.100.206 SharpHound 実行と data.zip ダウンロードの記録 r.andrews で収集し、Administrator 化後に AD 横展開へ利用した痕跡。
mi 2回目 AD 192.168.136.206 BloodHound の利用記録 WS26 から AD 情報を見ているが、チケット / pivot の使い切りに課題。
mi 3回目 AD 192.168.144.206 BloodHound / BloodyAD の証跡 v.perry から HelpDesk Users への経路を利用し、IP3 local まで進行。
sgy exam2 AD 192.168.106.206 SharpHound 実行ログ 結果 ZIP は未確認。172.16.106.200 に LDAPDomainDump 結果が残存。
sgy exam2 AD 172.16.106.200 LDAPDomainDump 結果 BloodHound ではないが、DC のユーザー、グループ、説明欄、GPO 系情報が残存。
sgy exam3 AD 192.168.142.206 20260523231830_BloodHound.zip と Documents 内 duplicate WS26、SRV22、DC20、SVC_MSSQL の SPN、Domain Admins などを含む。

whoami /priv の残存結果

人物 試験 / 範囲 IP / ユーザー 結果の要約 攻略上の意味
ari 全体 該当なし 明示的な whoami /priv 出力は確認できず 権限昇格判断は winPEAS や取得済み資格情報中心。
mi 1回目 AD 192.168.100.206 / r.andrews Potato 系が使えそう、という記録のみ 実際に GodPotato で Administrator 化しているため、強い impersonation 系権限があった可能性が高い。
mi 2回目 AD 192.168.136.206 / r.andrews SeImpersonatePrivilege あり GodPotato-NET4 で権限昇格。
mi 3回目 AD 192.168.144.206 / Administrator SeDebugPrivilege を期待する記述のみ 明示的な出力はなし。mimikatz 実行と LSASS 取得の文脈。
sgy exam1 192.168.131.112 / jay SeChangeNotifyPrivilege enabled、SeIncreaseWorkingSetPrivilege enabled Potato 系には不向き。Web 書き込みや資格情報探索が本命。
sgy exam2 192.168.106.206 / r.andrews SeShutdownPrivilegeSeChangeNotifyPrivilegeSeUndockPrivilegeSeIncreaseWorkingSetPrivilegeSeTimeZonePrivilege enabled。SeImpersonatePrivilege なし Potato 系より、環境変数からの資格情報取得と AD 横展開が本命。
sgy exam3 192.168.142.206 / r.andrews SeBackupPrivilege disabled、SeShutdownPrivilege disabled、SeChangeNotifyPrivilege enabled、SeUndockPrivilege disabled、SeIncreaseWorkingSetPrivilege disabled、SeTimeZonePrivilege disabled 低権限。Kerberoast / MSSQL / BloodHound 経路が本命。

HTB / PG Grounds 類似ラボ

プラットフォーム上の公開状況は変わるため、ここでは「完全一致」ではなく攻撃テーマが近い候補として整理します。HTB は Hack The Box、PG は OffSec Proving Grounds を指します。

テーマ 該当 IP / 範囲 HTB 候補 PG Grounds 候補 近い理由
AD 初期 foothold から環境変数 / mimikatz / BloodHound / ACL ari AD、mi AD、sgy exam2/3 AD Forest、Sauna、Active、Reel Hutch、Heist ドメイン列挙、BloodHound、資格情報再利用、ACL / グループ経路の練習になる。
Kerberoast / MSSQL service account sgy exam3 SVC_MSSQL、SRV22 Querier、Escape Heist、Hutch SPN、MSSQL 認証、SQL 権限から OS / AD へ広げる練習が近い。
SMB / メール ZIP / パスワード再利用 / RDP 権限切り分け ari 192.168.91.111、mi 192.168.136.111、sgy 192.168.131.111 Access、Reel Heist メールやバックアップから資格情報を得て、SMB / RDP / RPC で使い分ける流れが近い。
WordPress / CMS 認証前列挙 mi 192.168.136.112 Blocky、Nibbles Funbox 系、WordPress 系 PG CMS のユーザー列挙、プラグイン / テーマ、認証情報再利用の練習になる。
WebDAV / BarracudaDrive / PostgreSQL sgy 192.168.106.111 Querier、Escape Medjed WebDAV と DB の組み合わせ、既知 exploit が刺さらない時の設定探索が近い。
Redis 露出から Web ルート書き込み sgy 192.168.142.111 Postman Redis / Windows Web 系の PG Redis の dir / dbfilename / SAVE と、書ける場所と実行される場所の一致を考える練習。Postman は Linux 寄りなので Windows との差分に注意。
WHOIS / POP3 / メールから SSH 資格情報 mi 192.168.144.110、sgy 192.168.142.110 SneakyMailer Algernon、Mail 系 PG メールサービスから資格情報を取り、ローカル API / LFI / SSH に展開する流れが近い。
SNMP から資格情報、Linux 権限昇格 sgy 192.168.131.110 SNMP 系 retired machine、Linux PrivEsc 系 Zino など Linux 列挙系 SNMP extended MIB、設定値漏えい、disk group / ファイルシステム読み取りの練習になる。
IIS / API / JWT / Web ルート書き込み sgy 192.168.131.112 JSON、Jeeves 系 Windows Web API 系 PG API から資格情報を得た後、IIS 配下への書き込みを RCE へ変換する発想が近い。

参照リンク

  • Hack The Box: https://app.hackthebox.com/machines
  • OffSec Proving Grounds Practice: https://portal.offsec.com/labs/practice