跟着大佬学渗透之进阶篇09

前言

今天的靶机依然是HTB(Hack The Box)的靶机-- driver，通过这个靶机我们可以学到一些smb的知识，对后续AD域的靶机还是有一定帮助的。

开干：

1、环境准备

• HTB的靶机

  
  

选择HTB的Driver靶机，下载HTB的VPN。

• Kali

将HTB的vpn文件put到kali中，使用命令 openvpn + ovpn文件路径 命令开启vpn连接。连接成功会在HTB网页右上角显示CONNECTIONS

2、扫描开放端口

使用nmap命令扫描开放端口：

开放了80、135、445、5985端口。

3、寻找漏洞尝试利用

按照之前打靶的流程，通过ssh命令将本地流量代理到vps，配置浏览器代理，然后访问80端口：

一个登录入口，尝试弱口令登录，用admin/admin登录成功：

点击Firmware Updates，找到一个文件上传功能：

尝试上传一些反弹shell的exe、asp、aspx文件全都失败了，尝试nikto扫描、目录爆破也未发现可以利用信息：

接下来就看看其他端口了，139端口是Netbios服务，Netbios代表网络基本输入输出系统，它是一种软件协议，允许局域网上的应用程序、PC和台式机与网络硬件进行通信并通过网络传输数据。445端口是smb服务，smb系统作为应用层网络协议运行，主要用于提供对文件、打印机、串行端口及网络节点之间其他类型通信的共享访问。5985端口是WinRM服务，WinRM是一种Microsoft协议，允许使用SOAP通过HTTP(S)远程管理windows计算机。

先用netbios扫描内网存活：

没什么发现。

接着使用nmap --script "smb-vuln*" -p 445 [ip] 命令查看下smb服务有什么漏洞：

ms10-054、ms10-061都无法利用，接下来尝试smb连接到网络共享：

全都连不上。

这时候已经没啥思路了，回到web页面查看有没有遗漏的信息：

这里提到了，将固件更新上传到他们的文件共享。这意味着它不一定会发送到网络服务器，因此这边继续尝试上传webshell没有多大意义。

当您对文件共享具有写访问权限时，典型的攻击是删除.scf引用攻击者控制的主机上的 SMB 共享上的图标文件的文件。.scf如果使用文件资源管理器打开包含该文件的文件夹，.scf则会激发资源管理器重新连接以获取该图标文件，并提供 Net-NTLMv2 身份验证协商。如果我控制该主机，我就可以捕获该交换并尝试使用离线暴力破解 Net-NTLMv2（如hashcat）。

SCF文件是Windows Shell命令文件，可用于执行一组有限的操作，例如显示Windows桌面或者打开Windows资源管理器。文件格式如下

[Shell]Command=2IconFile=<icon file>[<thing you want to control>]Command=<command>

下面我们构造一个SCF文件，然后将IconFile的路径指定为我们本地的文件。

当目标浏览共享时，将自动会从系统建立网络连接，连接到包含在SCF文件内的UNC路径。Windows将尝试使用用户名和密码对该共享进行身份验证。在验证过程中，随机的8字节质询密钥会从服务器发送到客户端，散列后的NTLM / LANMAN密码再次使用这个质询密钥进行加密。Responder将捕获NTLMv2哈希。

使用responder监听网卡，捕获浏览共享用户的hash：

靶机web页面上传构造的scf文件后：

接下来用hashcat爆破NTLMv2哈希，NTLMv2的哈希标识符为5600:

得到用户名密码为 TONY:liltony

因为5985端口开着，接下来使用evil-winrm连接：

获取用户flag：

4、提权

查看系统版本：

提示没有权限，接下来使用winpeas来搜集提权信息。

先wget下载winPEASx64.exe工具(和linpeas.sh类似的搜集windows提权信息的工具)，然后开启smbserver：

靶机copy文件：

执行winPEAS后查找有用的信息：

这边发现一个spoolsv的进程正在运行，搜下有没有漏洞可以利用：

查看CVE-2021-1675的利用方法：

将CVE-2021-1675.ps1下载到vps，靶机使用upload命令下载到靶机，然后执行Import-Module命令：

报错了，搜了下解决方案，需要设置execution policy为Unrestricted：

设置完成后，继续执行之前命令：

执行成功后用evil-winrm连接：

读取root Flag：

5、总结

这次的windows靶机，这次的靶机学到了一些smb和ntlm相关的知识，对以后打域控还是非常有帮助的，成为old driver之路，任重道远鸭～

原文始发于微信公众号（从黑客到保安）：跟着大佬学渗透之进阶篇09