nmap scan
#### port explore
135是smb服务,先尝试用smbmap扫描一下
`smbmap -H 10.10.10.134 -u abc`
再用smbclient探索一下backup文件夹
`smbclient -N -L //10.10.10.134`
使用smbclient连接到backups
`smbclient -N //10.10.10.134/Backups`
当目标文件过大时,可以尝试把需要的东西挂载到自己的电脑上
`mount -t cifs //10.10.10.134/backups /mnt -o user=,password=`
`find /mnt -type f`
其中存在两个vhd文件
接下来是搜索vhd文件中有用的东西
使用guestmount将两个文件分别进行挂载
`guestmount --add /mnt/WindowsImageBackup/L4mpje-PC/Backup\ 2019-02-22\ 124351/9b9cfbc3-369e-11e9-a17c-806e6f6e6963.vhd --inspector --ro /mnt2/`
第一个vhd挂载失败,第二个挂载上以后卡死,暂时做不了
根据writeup,用ssh连接L4mpje@10.10.10.134,密码为bureaulampje
root
在programfiles文件夹中,存在一个mRemoteNG
同样它也是一个远程连接工具
在用户的AppData文件夹下存在confCons.xml文件
里面存了一个DC和一个L4mpje-PC的帐号和密码
可以用(mRemoteNG Decrypt)[https://github.com/kmahyyg/mremoteng-decrypt]破解该加密密码
得到administrator的登陆密码为thXLHM96BeKL0ER2
用ssh连接,成功获得administrator权限