大家好，今天给大家带来的CTF挑战靶机是来自hackthebox的“Heist”，hackthebox是一个非常不错的在线实验平台，能帮助你提升渗透测试技能和黑盒测试技能，平台上有很多靶机，从易到难，各个级别的靶机都有。本级靶机难度为中等级别，任务是找到靶机上的user.txt和root.txt。

信息枚举

masscan探测目标主机的端口信息

map查看80，135，445，5985，49669端口的服务信息

发现smb需要密码登录

80web是一个登陆页面，不过我们可以以游客身份登录

漏洞利用

我们在web中发现了一些密码，不过我们需要去破解这些密码

用john破解密码

 

我们可以用在线工具破解7型cisco密码

得到cisco密码

--$uperP@ssword

--Q4)sJuY8qz*A3?d

 

利用crackmapexec使用得到的账号密码枚举出hazard的密码

知道目标系统上使用IPC$，IPC$是用于进程间通讯的共享，IPC$接受未声明的会话，我可以从中读取凭据

编写一个循环利用rpcclient中的lookupsids功能去获取所有用户

 

低权限shell

我们知道系统上开放了5985winrm端口

使用evil-winrm获取shell和user.txt

手工破解chase密码登录

 

权限提升

试图在系统磁盘中查找并没有任何有用的信息 发现系统中在运行着多个firefox进程

使用Evil-winrm的powershell脚本插件功能 使用本地powershell脚本Out-Minidump.ps1

下载转储文件

 

在本地用strings，发现该浏览器不断请求这个url 并且在url中发现明文密码传输

--http://localhost/[email protected]&login_password=4dD!5}x/re8]FBuZ&login=

我们尝试用这个密码登录系统的administrator账号

最后我们得到了root.txt

手握日月摘星辰，安全路上永不止步。

                                                      - Khan攻防安全实验室

本文始发于微信公众号（Khan安全攻防实验室）：Hack the box-Heist