HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)

  • A+
所属分类:安全文章

HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)

0x00:靶机介绍


这次的靶机是Fuse,这次是内网靶机渗透。当然尴尬的是五一时候打的,文章是这两天写的,看着十天前的截图我居然有点看不懂自己在干嘛了。这次用的工具比较多,引用的资料也比较多。我把用到的工具和所提及的资料会放到评论区。建议提前对对。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


0x01:信息收集


还是python autorecon起手收集波端口信息开的端口比较多还有个LDAP端口看到我直接绕着走了。直接节省时间。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


把IP地址输入到浏览器后发现打不开,URL也变成其它了。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


这里就需要在/etc/hosts里面添加进去就可,再次F5刷新成功。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


这里点进去以后发现一些用户名信息,可以使用cewl爬虫下来,如果后面需要爆破的话可能会用的上。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


0x02:碰瓷88端口


在前面信息收集的时候出现了一个稀有端口。88 kerberos服务。简单的来理解就是在不爆破LDAP的情况下改碰瓷88端口从域外对域用户进行用户枚举和口令破解。可以验证有哪些账号是存在的。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


使用方法也比较简单下载好kerbrute以后直接用刚才cewl爬虫下来的文件对准 10.10.10.193 和 fabricorp.local发射就可。成功枚举到一些账户信息。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


0x03:继续碰瓷其它端口


在信息收集阶段有看到靶机开启SMB服务端口。但是autorecon表示需要登录,既然上面已经爬了一堆账户了,那密码有可能还是在dict.txt里面。这里可以改用hydra进行爆破。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


爆破成功以后遇到一个很尴尬的提示session setup failed:xxxxx。后面在网上转了转才发现密码已过期要设一个新的没办法那就设呗。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


当然这个坑还是很大的。密码必须要包含大小写和特殊符号,要不然不给通过。裂开我就卡在这明明密码一样为啥总是提示我不成功。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


当然最后还是能枚举出来信息,不过不是很方便操作。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


0x04:转用rpcclient继续深入SMB端口获取信息


做到这步的时候其实也是尬住了,好像只能做到这种效果?后来拍了拍大佬大佬丢了个hackingarticle链接给我 https://www.hackingarticles.in/active-directory-enumeration-rpcclient/重点是里面的两句话。In general, the rpcclient can be used to connect to the SMBprotocol as well. rpcclient is a part of the Samba suite on Linuxdistributions. The rpcclient was designed to perform debugging andtroubleshooting tasks on a Windows Samba configuration.

简单的来理解就是smbclient能做的事rpcclient也能做。使用方法也是跟smbclient比较类似。直接rpcclient -U ‘用户’ IP地址这样。最后输入新的密码成功登录


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


然后可以使用enumdomusers来枚举当前用户,当然用些是刚才碰瓷的时候也见到过的。继续保存下来。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


当然除此之外由于80端口是个打印机页面直接enumprinters也是可以列举出信息出来。顺便得到一个password。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


0x05:登录靶机


在前面rpcclient又得到一个完整密码以后,这次还得用另外一个工具crackmapexec ,简单的来讲就是枚举用户登录。本质上来讲我们sudo openvpn –config 你的文件名连接成功本质上也是一波内网攻击靶机的操作。Crackmapexec在kali是自带的这里可以看到有一个账户密码枚举成功。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


接下来就是域内用户登录。这里要用到evil-winrm,kali非自带要下载,评论区有链接(一个windows远程管理shell的终极版本,由于我们有一个域内用户账号密码可直接登录)。登录以后可直接获得User的flag。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


0x06:提权


如果说前面只是各种方法转来转去,提权这里差点是把我搞崩溃了。首先先使用whoami/priv查看波权限发现有个SeLoadDriverPrivilege, 可以Load and unload device drivers。在网上转了波有个利用方法https://www.tarlogic.com/en/blog/abusing-seloaddriverprivilege-for-privilege-escalation。概况来讲就是有准备两个东西一个是Capcom.sys,一个是得编译好的loaddriver。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


Capcom.sys还好找Github一搜就有了。https://github.com/FuzzySecurity ... r/Driver/Capcom.sys


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


然而好像是需要自己编译的。。。。。直接在GitHub上找到一个大佬编译好的点开链接会自动下载

https://github.com/clubby789/ExploitCapcom/releases/download/1.0/ExploitCapcom.exe


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


使用方法也很简单直接exe load sys 就可后面带需要执行的命令。直接最高权限。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


做到这步其实就可了,为了拿flag还得生成一个反弹文件出来。


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


 最后成功接收到shell


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)


HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)

本文始发于微信公众号(疯猫网络):HTB靶场(十六 Fuse)HTB靶场(十六 Fuse)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: